Hälso- och sjukvårdsnämnden i region Örebro län fick en sanktionsavgift på grund av otillåten publicering av känsliga personuppgifter på webbplatsen. Bötesbeloppet uppgick till 120 000 kr (ungefär 12 000 euro) som Integritetsskyddsmyndigheten (Sveriges dataskyddsmyndighet) tilldelade. Klagomålet gällde bland annat att Hälso- och sjukvårdsnämnden hade publicerat personnummer, kontaktuppgifter, uppgifter om att patienten var föremål för urinprovtagning och information att patienten hade legat inne på mottagningen. Nämnden tog bort informationen efter att tillsynen började.
Otillåten publicering av känsliga personuppgifter på webbplatsen
Tillsynsmyndigheten kom fram till att behandlingen av personuppgifterna i fråga stred mot flera bestämmelser i GDPR. De känsliga personuppgifterna blev bland annat inte publicerade förenligt med principerna om uppgiftsminimering och ändamålsbegränsning. Dessutom har de saknat en rättslig grund för behandlingen och inte haft tillräckliga organisatoriska åtgärder för att skydda personuppgifterna i fråga från att bli publicerade på webbplatsen. Exempelvis genom att ha skriftliga rutiner och se till att medarbetarna följer dem. Enligt huvudregeln i GDPR är det förbjudet att behandla känsliga personuppgifter, om det inte finns något tillämpligt undantag från huvudregeln.
Konsekvensen för överträdelserna
Totalt blev sanktionsavgiften 120 000 kr, varav 40 000 kr på grund av överträdelsen mot artikel 32 GDPR och 80 000 kr för överträdelserna av artiklarna 5, 6 och 9 samt kapitel 3 i GDPR. Dessutom fick de instruktioner om att upprätta skriftliga rutiner och instruktioner för medarbetarna som arbetar med att publicera personuppgifter som är öppna för allmänheten. Vid tidpunkten för tillsynen hade nämnden enbart informerat om rutinerna muntligt till medarbetarna som arbetade med att publicera information, vilket inte var många.
Information om att patienten har varit inlagd på kliniken är en känslig personuppgift. Detsamma gäller uppgifter om att patienten varit föremål för urinprovtagning, eftersom det kan innebära ett drogmissbruk eller användande av droger. Uppgifter om hälsa är känsliga personuppgifter enligt GDPR, precis som uppgifter om politisk åskådning och religös tro.
Orsak till överträdelsen
Enligt Hälso- och sjukvårdsnämnden i region Örebro län i Sverige var orsaken till personuppgiftsincidenten den mänskliga faktorn. Den mänskliga faktorn har visat sig vara en vanlig orsak till personuppgiftsincidenter vid många tillsyner.
