IMY kritiserar polisen för att känslig brottsdata mailades till fel mottagare

Författare: Kave Noori

Integritetsskyddsmyndigheten publicerade den 17 januari 2023 ett tillsynsbeslut som konstaterade att Polisen under augusti 2018 hade behandlat personuppgifter i strid med brottsdatalagen. 

Polismyndigheten tillåter sina anställda att skicka känsliga personuppgifter via interna
e-postmeddelanden till sina kollegor. IMY:s utredning konstaterar att om uppgifterna skulle hamna i obehöriga händer, så skulle det leda till en betydande kränkning av målsäganden och misstänktas personliga integritet.

Utredningen visar att huvudorsaken till det obehöriga röjandet av personuppgifterna var att poliser råkat felstava sina kollegors mailadresser. Det var en utomstående person som själv har registrerat flera domäner med olika felstavningar av polisen.se som själv tagit initiativ till att informera Polisen om att e-postmeddelanden har kommit till fel mottagare.

I tillsynsbeslutet kan man läsa att ägaren till domänerna haft en vanlig funktion aktiverad som kallas för ”catch all”. Denna funktion gör att även e-post som skickas till en adress som inte existerar på en viss domän ändå vidarebefordras till en utsedd inkorg.

– Polisen hade vid tiden för det inträffade inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlades så att obehöriga inte kunde komma åt dem, säger Jonas Agnvall, jurist på IMY i ett pressmeddelande

Polisen har under utredningens gång infört nya åtgärder för att minska risken för att det som inträffat kan ske igen. I sitt beslut lyfter dock IMY fram att det finns en risk att dessa åtgärder inte är tillräckliga och rekommenderar polisen att vidta ytterligare åtgärder för att höja skyddsnivån.

Vidare framgår det av tillsynsbeslutet att IMY är oroliga för att polismyndigheten inte heller uppfyller sin skyldighet att informera berörda individer när det inträffar en personuppgiftsincident. Därför uppmanar IMY Polisen att se över hur myndigheten hanterar personuppgiftsincidenter.

Slutligen beslutade IMY att inte utdela någon sanktionsavgift. IMY tog hänsyn till att polisen har försökt lösa situationen även om åtgärderna var otillräckliga. IMY ansåg att det inte är motiverat att utfärda en sanktionsavgift.

Läs mer
IMYs pressmeddelande 17 januari 2023

IMY:s tillsynsbeslut mot Polisen

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart