Aktuell arbetsrätt

Anställdas privata Google Foto-konton kostsamma för Tullverket

Arbetsrättsbloggen

IMY: Tullverket tvingas betala 300 000 kronor för överträdelse av brottsdatalagensedan anställda, utan arbetsgivarens godkännande, laddat ner och använt appen Google Foto på sina tjänstemobiler.

Integritetsskyddsmyndigheten (IMY) har granskat en personuppgiftsincident hos Tullverket. Utredningen visade att Tullverket inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa att den personuppgiftsbehandling som skedde vid myndigheten var författningsenlig och för att skydda de personuppgifter som behandlades på personalens tjänstemobiler.

Utredningen visade att ett par medarbetare vid myndighetens kriminalverksamhet använt Google Foto i sina tjänstemobiler. Appen synkade automatiskt de foton och filmer som de anställda tog i tjänsten, vilket innebar att personuppgifterna överfördes till den amerikanska molntjänsten.

Enligt Tullverket var användningen av Google Foto inte tillåten inom myndigheten. Den omständigheten att användningen av Google Foto var otillåten fråntar dock, enligt IMY:s beslut, inte Tullverket det ansvar som myndigheten har som personuppgiftsansvarig.

Tullverket borde, enligt beslutet, ha haft både bättre rutiner och tekniska begränsningar för vilka appar som kunde laddas ner på tjänstemobilerna. Det var, enligt IMY, Tullverkets ansvar att säkerställa att personuppgifter från de anställdas tjänstemobiler inte kopierades och lagrades i en utländsk molntjänst. Detta särskilt som som Tullverket ofta hanterar integritetskänslig information.

IMY betonar i sitt beslut det behöver finnas tydliga rutiner och riktlinjer för anställdas användning av tjänstemobiler och att de anställda också behöver få utbildning och information om hur personuppgifter får behandlas på telefonerna.

Att det varit fråga om ett fåtal medarbetare som utan myndighetens godkännande använt appen liksom att de bilder och filmer som hade laddats upp där raderats ses som förmildrande omständigheter. Dessutom framgår av beslutet att Tullverket, efter att incidenten upptäckts, hade vidtagit tekniska och organisatoriska åtgärder för att förebygga liknande incidenter i framtiden.

Sanktionsavgiften stannar på 300 000 kronor. De förmildrande omständigheterna ansågs vara sådana att avgiften skulle bestämmas till ”ett avsevärt lägre belopp än vad som annars varit motiverat”.

Du kan läsa IMY:s beslut här https://www.imy.se/globalassets/dokument/beslut/2022/beslut-tillsyn-tullverket.pdf