I såväl dataskyddsförordningen som brottsdatalagen finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Myndigheten har tagit emot två anmälningar om personuppgiftsincidenter enligt brottsdatalagen från Polismyndigheten, som båda avsåg e-postmeddelanden som oavsiktligt hade skickats till obehörig person. Enligt polisen innehöll vissa av dessa mejl integritetskänsliga personuppgifter, som exempelvis uppgift om misstänkt och brottsoffer.
IMY har inlett en granskning av vad orsaken varit till de beskrivna personuppgiftsincidenterna, om polisen har tillräckliga rutiner för när personuppgifter får skickas via e-post samt om polisen i övrigt har vidtagit lämpliga åtgärder för att liknande incidenter inte ska upprepas.
Av polisens svar till IMY framgår att bakgrunden till incidenterna huvudsakligen varit att e-postmeddelanden av misstag har skickats till obehörig mottagare genom att anställda vid myndigheten råkat stava fel på ”@polisen.se” när mottagaradressen har angetts. Enligt polisen har en utomstående person registrerat internetdomäner med snarlika stavningar till polisen.se och på så sätt tagit del av e-postmeddelanden som alltså egentligen varit avsedda till polisanställda.
I sitt beslut från den granskning som nu är klar konstaterar IMY att polisen brutit mot brottsdatalagen.
– Polisen hade vid tiden för det inträffade inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlades så att obehöriga inte kunde komma åt dem, säger Jonas Agnvall, jurist på IMY.
Polisen har under utredningens gång infört nya åtgärder för att minska risken för att det som inträffat kan ske igen. I sitt beslut lyfter dock IMY fram att det finns en risk att dessa åtgärder inte är tillräckliga och rekommenderar polisen att vidta ytterligare åtgärder för att höja skyddsnivån.
