Det svenska värdepappersinstitutet Indecap AB har tilldelats en sanktionsavgift på 500 000 kronor av Integritetsskyddsmyndigheten för att ha brutit mot GDPR i samband med att bolaget av misstag skickade känsliga kunddata via e-post till obehöriga mottagare. Det inträffade, som omfattade personliga och finansiella uppgifter på över 52 000 personer, visar på det stora behovet av strikta dataskyddsrutiner, i synnerhet när känslig information hanteras.

IMY gav värdepappersbolaget Indecap AB sanktionsavgiften för att bolaget brutit mot artikel 32.1 i GDPR. IMY fattade beslutet efter ett klagomål om att Indecap av misstag hade skickat ett e-postmeddelande som innehöll känsliga personuppgifter om sina kunder till andra kunder den 20 januari 2021. 

E-postmeddelandet innehöll en Excel-fil med personuppgifter, inklusive kundernas finansiella data. Misstaget uppstod när en anställd skapade en rapport och sparade Excel-filen under ett liknande namn som en allmän PDF-rapport om fondernas avkastning som skulle skickas till kunderna. Den anställde bifogade av misstag Excel-filen som innehöll uppgifter om enskilda kunder istället för PDF-rapporten, vilket ledde till att känsliga uppgifter spreds till obehöriga mottagare. 

Företaget uppskattar att e-postmeddelandet skickades till högst 2 813 mottagare och innehöll uppgifter om 52 364 drabbade personer. Det exakta antalet mottagare har inte kunnat fastställas eftersom ett stort antal e-postmeddelanden fastnade i spamfilter. Informationen omfattade kundernas namn, personnummer, bankuppgifter, risknivåer, fördelningen av fonder och det aktuella värdet på deras fondinnehav.

Indecap hävdade till IMY att man hade ändamålsenliga riktlinjer och förfaranden på plats för att säkerställa en god informationssäkerhet. Detta innefattade bland annat åtkomstbegränsningar till kunddatasystem och utbildningsinsatser för anställda om dataskydd. Företaget medgav dock också att det hade svårt att följa principen om dubbla kontroller, som kräver att två personer godkänner en åtgärd som omfattar hantering av en stor mängd personuppgifter. Orsaken förtaget uppgav var det ökade distansarbetet till följd av covid-19-pandemin.

IMY:s beslut att påföra bolaget en sanktionsavgift grundades på flera faktorer, däribland överträdelsens art, antalet berörda personer och hur känsliga personuppgifter det rörde sig om. IMY tog också hänsyn till lagen (2007:528) om värdepappersmarknaden, som föreskriver att den som arbetar för ett värdepappersföretag inte obehörigen får röja eller utnyttja information om någon annans affärs- eller personförhållanden. Som värdepappersföretag omfattas Indecap av dessa sekretessbestämmelser, vilket kräver en hög skyddsnivå för de personuppgifter som behandlas.

IMY granskade också ägarstrukturen i Indecap och dess moderbolag, Indecap Holding AB. Enligt EU-rätten anses ett moderbolag och dess dotterbolag vara en del av samma ekonomiska enhet om moderbolaget utövar ett avgörande inflytande över dotterbolaget. I detta fall äger Indecap Holding AB 100 % av aktierna i Indecap och har därmed full kontroll över dotterbolaget. 

När sanktionsavgiften fastställdes tog IMY hänsyn till moderbolagets årliga omsättning i enlighet med artikel 83.4 i GDPR, som anger att den högsta sanktionsavgiften för överträdelser av artikel 32 i GDPR är 10 miljoner euro eller upp till 2 % av den totala årliga omsättningen inom en koncern. IMY ansåg att sanktionsagiften var effektiv, proportionell och avskräckande med tanke på hur allvarligt brottet var, de förmildrande omständigheterna (t.ex. kontaktade företaget dem som hade fått e-postmeddelandet av misstag och bad dem radera det och informerade de drabbade omedelbart) och företagets betalningsförmåga. 

Från det här tillsynsärendet kan vi lära oss vikten av att organisationer anpassar sitt sätt att arbeta med dataskydd. Covid19-pandemin gjorde att företaget inte kunde upprätthålla rutinen att två personer kontrollerar åtgärder där många personuppgifter hanteras. En lärdom som kan dras från fallet är att när nya förutsättningar uppstår kan företag vara skyldiga att hitta nya arbetssätt för att uppnå samma nivå av dataskydd som tidigare. Fallet visar också hur annan lagstiftning än GDPR, i detta fall lagen (2007:528) om värdepappersmarknaden också påverkar de bedömningar som görs på grundval av GDPR. Slutligen kan vi se hur EU:s konkurrensrätt också samspelar med EU:s dataskyddsregler för att definera vad som utgör ett företag.