Försäkringskassan skickade sekretesskyddade handlingar innehållande känsliga personuppgifter om en kvinna och hennes barn, till fel person.

JK konstaterar i sitt beslut att för skadefall som inträffat innan dataskyddsförordningen trädde ikraft gäller den numera upphävda personuppgiftslagen (se prop. 2017/18:105 s. 176) och att det i aktuellt fall var fråga om sådan behandling av personuppgifter som omfattas av personuppgiftslagen.

I ärendet stod det klart att utlämnande av personuppgifter genom översändande betraktas som behandling av personuppgifter enligt 3 § personuppgiftslagen (se SOU 2003:40 s. 190). Själva utlämnandet av handlingarna hade skett via vanlig post och den hanteringen var varken helt eller delvis automatiserad eller uppfyllde kriterierna för ett manuellt register. Detta ansågs dock ha mindre betydelse. Det avgörande ansågs istället vara vilken karaktär som den bakom­liggande behandlingen av personuppgifterna hade. Om den behandlingen varit helt eller delvis automatiserad (utskriften av handlingarna) eller om den uppfyllt kriterierna för ett manuellt register måste även själva utlämnandet av personuppgifterna anses omfattas av den behandlingen.

Kvinnan fick rätt till skadestånd enligt 48 § personuppgiftslagen.

Läs mer här.