Tullverket får betala 300 000 kr i sanktionsavgift på grund av två tjänstemäns otillåtna användning av Google Foto

Aktuella lagrum och krav på en lagenlig personuppgiftsbehandling
Integritetsskyddsmyndigheten, IMY, inledde en granskning av Tullverket efter en anmälan om en personuppgiftsincident som inkom den 8 november 2019. IMY konstaterade i ett beslut att Tullverkets personuppgiftsbehandling stred mot 3 kap. 2 och 8 §§ brottsdatalagen (2018:1177), BDL. Av 3 kap. 2 § BDL framgår att personuppgifter endast får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 3 kap. 8 § BDL framgår vidare att det finns krav på adekvans och relevans vid personuppgiftsbehandling samt nödvändighets- och ändamålsprincipen.

Personuppgiftsincidenten i fråga
Enligt IMY:s beslut bestod den otillåtna personuppgiftsbehandlingen i att två tjänstemän vid Tullverket använde den amerikanska molntjänsten Google Foto på sina tjänstemobiler. Konsekvenserna av detta blev att foton och filmer som hade kopplingar till brottsutredande verksamhet hamnade på molntjänsten. Detta eftersom alla bilder och filmer som togs på tjänstetelefonerna i fråga automatiskt laddades upp på Google Foto. Tullverket uppger att användningen av molntjänsten var otillåten, men det påverkar inte IMY:s bedömning om att Tullverket ska ta ansvar för och betala sanktionsavgifter för incidenten.

IMY:s rekommendationer till Tullverket
IMY kommenterar vidare att det finns ett behov av att utbilda tjänstemän vid Tullverket om personuppgiftsbehandling och att myndigheten bör ta fram tydliga rutiner som specificerar hur tjänstemobilerna får användas. De kompletterar även detta med att begränsningar om vilka applikationer som ska kunna installeras på tjänstemobiler bör finnas. Den 20 november 2019 togs möjligheten att ladda ner Google Fotos bort på Tullverkets tjänstetelefoner och andra begränsningar infördes. Tullverket har även skapat tydligare rutiner för användning av tjänstemobiler efter den aktuella personuppgiftsincidenten.

Försvårande och förmildrande omständigheter
En försvårande omständighet i ärendet består i att uppgifterna med stor sannolikhet handlade om brott eller misstanke om brott och därmed utgör integritetskänsliga uppgifter. Att Tullverket har förtydligat sina rutiner och att det endast var två medarbetare som använde molntjänsten utgör å andra sidan förmildrande omständigheter. Tjänstemännen hade dessutom ingen avsikt att bilderna och filmerna som de tog i tjänsten skulle hamna på Google Foto och raderade dessa så fort det upptäcktes. Detta förklarar den någorlunda milda sanktionsavgiften, som utan de förmildrande omständigheterna skulle ha varit avsevärt större.

Omöjligt att fastställa personuppgiftsincidentens omfattning
Eftersom bilderna och filmerna raderades så fort det blev känt att de hamnade på Google Foto går det inte att konstatera personuppgiftsincidentens omfattning och hur många personer som påverkades.

Läs mer här:

Sanktionsavgift mot tullverket för bristande rutiner

Beslut efter tillsyn enligt brottsdatalagen- Tullverkets personuppgiftsbehandling på tjänstemobiler

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart