Aktuella lagrum och krav på en lagenlig personuppgiftsbehandling
Integritetsskyddsmyndigheten, IMY, inledde en granskning av Tullverket efter en anmälan om en personuppgiftsincident som inkom den 8 november 2019. IMY konstaterade i ett beslut att Tullverkets personuppgiftsbehandling stred mot 3 kap. 2 och 8 §§ brottsdatalagen (2018:1177), BDL. Av 3 kap. 2 § BDL framgår att personuppgifter endast får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 3 kap. 8 § BDL framgår vidare att det finns krav på adekvans och relevans vid personuppgiftsbehandling samt nödvändighets- och ändamålsprincipen.

Personuppgiftsincidenten i fråga
Enligt IMY:s beslut bestod den otillåtna personuppgiftsbehandlingen i att två tjänstemän vid Tullverket använde den amerikanska molntjänsten Google Foto på sina tjänstemobiler. Konsekvenserna av detta blev att foton och filmer som hade kopplingar till brottsutredande verksamhet hamnade på molntjänsten. Detta eftersom alla bilder och filmer som togs på tjänstetelefonerna i fråga automatiskt laddades upp på Google Foto. Tullverket uppger att användningen av molntjänsten var otillåten, men det påverkar inte IMY:s bedömning om att Tullverket ska ta ansvar för och betala sanktionsavgifter för incidenten.

IMY:s rekommendationer till Tullverket
IMY kommenterar vidare att det finns ett behov av att utbilda tjänstemän vid Tullverket om personuppgiftsbehandling och att myndigheten bör ta fram tydliga rutiner som specificerar hur tjänstemobilerna får användas. De kompletterar även detta med att begränsningar om vilka applikationer som ska kunna installeras på tjänstemobiler bör finnas. Den 20 november 2019 togs möjligheten att ladda ner Google Fotos bort på Tullverkets tjänstetelefoner och andra begränsningar infördes. Tullverket har även skapat tydligare rutiner för användning av tjänstemobiler efter den aktuella personuppgiftsincidenten.

Försvårande och förmildrande omständigheter
En försvårande omständighet i ärendet består i att uppgifterna med stor sannolikhet handlade om brott eller misstanke om brott och därmed utgör integritetskänsliga uppgifter. Att Tullverket har förtydligat sina rutiner och att det endast var två medarbetare som använde molntjänsten utgör å andra sidan förmildrande omständigheter. Tjänstemännen hade dessutom ingen avsikt att bilderna och filmerna som de tog i tjänsten skulle hamna på Google Foto och raderade dessa så fort det upptäcktes. Detta förklarar den någorlunda milda sanktionsavgiften, som utan de förmildrande omständigheterna skulle ha varit avsevärt större.

Omöjligt att fastställa personuppgiftsincidentens omfattning
Eftersom bilderna och filmerna raderades så fort det blev känt att de hamnade på Google Foto går det inte att konstatera personuppgiftsincidentens omfattning och hur många personer som påverkades.

Läs mer här:

Sanktionsavgift mot tullverket för bristande rutiner

Beslut efter tillsyn enligt brottsdatalagen- Tullverkets personuppgiftsbehandling på tjänstemobiler