Analys av IMY:s beslut avseende Sportadmin om säkerhet enligt GDPR

Inledning

IMY beslutade nyligen att påföra Sportadmin sanktionsavgift om 6 miljoner kronor för brister avseende säkerheten efter tillsyn av en personuppgiftsincident i början av 2025. Vid incidenten gjorde en extern angripare ett intrång i Sportadmins tjänst och kom över personuppgifter om drygt 2 miljoner användare varav huvudsakligen barn. Uppgifterna publicerades senare på Darknet. IMY bedömer i beslutet att mängden personuppgifter och karaktären på de personuppgifter som behandlats av Sportadmin har inneburit en hög risk enligt artikel 32.1 GDPR. Detta menar IMY har ställt krav på en hög säkerhetsnivå enligt bestämmelsen, vilket IMY bedömer att Sportadmin inte har levt upp till. 

IMY:s webbplats finns en sammanfattning av beslutet och beslutet i sin helhet. Beslutet är inte överklagat (såvitt framgår av IMY:s webbplats i dagsläget) men kan bli det fram till slutet av februari 2026. Beslutet har alltså inte vunnit laga kraft. Beslut om sanktionsavgift avseende företag tenderar att överklagas och slutligt avgöras först efter något år i kammarrätt.

Nedan följer först en sammanfattning av analysen. Därefter utvecklas analysen avseende förhållandet till tidigare praxis och annat av betydelse för om beslutet är vägledande. Slutligen kommenteras utvalda aspekter av IMY:s bedömning.

Sammanfattande kommentar

Sportadmin-beslutet är i linje med tidigare beslut från IMY och praxis från EU-domstolen. Vidare är beslutet handlagt av seniora och kvalificerade medarbetare på IMY inklusive GD och rättschefen. Beslutet bör därför betraktas som vägledande förutsatt att det vinner laga kraft.

Beslutet utvecklar rättsläget. Två saker att ta med sig från IMY:s bedömning är följande:

1) I relationen mellan idrottsföreningar som är personuppgiftsansvariga och ett professionellt personuppgiftsbiträde som behandlar uppgifter för många föreningar, bär biträdet det huvudsakliga ansvar för säkerheten enligt artikel 32.1 GDPR. Detta kan eventuellt tillämpas analogt avseende andra föreningar som liknar idrottsrörelsen, t.ex. för bostadsrättsföreningar och samfälligheter (ansvariga) i relation till förvaltare (biträde). Möjligtvis är bedömningen vägledande även beträffande andra relationer där personuppgiftsbiträdet är den så att säga ”starkare” parten jämfört med den personuppgiftsansvarige, t.ex. beträffande en myndighet eller ett normalstort företag (ansvariga) kontra Google eller Microsoft (biträde) – men det är betydligt mer osäkert.

2) Idrottsrörelsens behandling av personuppgifter och liknande behandlingar kräver en hög säkerhetsnivå enligt artikel 32.1 GDPR. Det medför krav på bl.a. följande säkerhetsåtgärder:

  • Åtgärder i syfte att förhindra och begränsa omfattningen av intrång, exempelvis Web Application Firewall (WAF) och restriktiv behörighetsstyrning (principen om minsta privilegium).
  • Åtgärder för att upptäcka bristfälliga säkerhetsåtgärder, exempelvis rutiner för kodgranskning. Vid kännedom om förhöjd risk för intrång krävs faktisk kodgranskning, t.ex. vid användning av äldre (legacy) kod.
  • Åtgärder för att upptäcka intrång eller intrångsförsök, exempelvis automatiska system för bevakning av intrång i realtid. En manuell granskning i efterhand är inte tillräcklig om upptäckt av ett intrång sker först två dagar efter påbörjat försök till intrång.

Det är positivt att IMY skriver ett beslut som är mer tekniskt än vad som är brukligt för myndigheten och som ger konkreta exempel på säkerhetsåtgärder som krävs enligt GDPR, även om ytterligare tydlighet och ledning önskas. Det är också positivt att IMY klargör att ett personuppgiftsbiträde som är den ”starkare” parten jämfört med den personuppgiftsansvarige bär ett stort ansvar enligt GDPR för säkerheten. Det är dock synd att IMY inte närmare utvecklat sin bedömning om ansvarsfördelningen.

IMY:s bedömning kan dock ifrågasättas, av i huvudsak följande skäl: IMY har inte bedömt flera relevanta aspekter enligt artikel 32.1 GDPR, nämligen behandlingens sammanhang och ändamål samt genomförandekostnaderna för den senaste säkerheten. Frågan är om beslutet är proportionerligt i förhållande till idrottsrörelsen. Ytterst är det troligen idrottsrörelsen och föräldrar till de barn vars personuppgifter behandlats som kommer få betala den sanktionsavgift som IMY utdömt och bära de ökade kostnaderna för den säkerhet som IMY kräver. Är det rätt del av samhället att utdöma böter på miljonbelopp mot eller borde de pengarna gå till tränare, bollar och puckar istället?

Förhållande till tidigare praxis och annat av betydelse för om beslutet är vägledande

Det är IMY:s generaldirektör som har fattat beslutet, vilket normalt är ett krav enligt IMY:s rutiner för sanktionsavgifter av den här storleken. Att beslutet är fattat av generaldirektören indikerar dock också att IMY anser att beslutet är vägledande, vilket får ytterligare stöd av att rättschefen och en av dennes seniora medarbetare har deltagit i den slutliga handläggningen samt att beslutet föredragits av en kvalificerad jurist. IMY kan därför förväntas försvara beslutet vid överprövning.

Noterbart är också att IMY:s tech-enhet har deltagit i den slutliga handläggningen genom inte bara en medarbetare utan även sin enhetschef. Den för IMY tekniska utformningen av beslutet talar för att tech-enheten har varit involverade i betydande utsträckning i ärendet, jämfört med t.ex. tillsynerna av vissa delar av vårdguiden (de s.k. 1177-tillsynerna, se IMY:s pressmeddelande med länkar till besluten här) eller tillsynen av försäkringsbolaget Trygg-Hansa (se IMY:s pressmeddelande med länk till beslutet här) som båda rörde bl.a. artikel 32 GDPR. En gissning är att beslutet ger en försmak på en ambition som IMY har av att bli bättre tekniskt, även om det finns mycket kvar att önska. Ett problem i sammanhanget är emellertid att även om IMY besitter teknisk kompetens så behöver myndighetens beslut som kan förväntas överklagas skrivas på ett sätt så att inte domare tycker att besluten är oförståeliga, annars får IMY en tung förklaringsbörda i domstol.

I förhållande till tidigare praxis är det ovanligt med beslut som vänder sig direkt mot ett personuppgiftsbiträde (PUB). Normalt är det den personuppgiftsansvarige (PUA) som IMY vänder sig emot. Artikel 32 är dock en av få bestämmelser i GDPR som är direkt tillämplig hos PUB (men också hos PUA) och som dessutom är sanktionerad. Det finns likväl liknande beslut då IMY vänt sig mot PUB, främst tillsynen enligt artikel 32 GDPR av Vklass AB (se IMY:s pressmeddelande med länk till beslutet här) och i viss mån även tillsynen av Voice Integrate AB som var en del av de tidigare nämnda 1177-tillsynerna (se ovan).

Beslutet avseende Vklass är intressant att jämföra med i sammanhanget. Det ärendet hanterades av IMY:s tech-enhet men varken generaldirektören eller rättschefen var formellt involverade i handläggningen, vilket ger det beslutet lågt principiellt värde jämfört med Sportadmin-beslutet. Vidare är Vklass- och Sportadmin-besluten uppbyggda på liknande sätt men med vissa skillnader i omständigheterna:

  • I Vklass konstaterades också bristande systemövervakning och avsaknad av förmåga att upptäcka intrång, men ännu mer otillräcklig än i Sportadmin.
  • Vklass hade bättre behörighetsstyrning. Trots intrång fick den som gjorde intrånget inte åtkomst till alla uppgifter i systemen i Vklass utan en betydligt mer begränsad andel uppgifter.
  • I Vklass rörde incidenten inte känsliga personuppgifter, personnummer, skyddade personuppgifter, omdömen eller fritexter. Istället behandlades främst uppgifter om kontaktuppgifter och namn. Det är oklart om omdömen, fritexter eller liknande behandlades av Sportadmin, det framgår inte klart av beslutet.
  • Vklass berörde ca 400 000 personer, också huvudsakligen barn. Sammanhanget var dock mer känsligt än Sportadmin, nämligen kommunikation om skola.

Vid en sammantagen bedömning kom IMY fram till att säkerhetsbrister förelegat i Vklass av liknande karaktär som i Sportadmin, men med vagare motivering. Överträdelsen i Vklass bedömdes vara av mindre allvarlig karaktär och sanktionen stannade därför vid en reprimand, dvs. ett konstaterande av en brist utan böter eller annan påföljd.

Efter Vklass har ett liknande mål avgjorts i EU-domstolen, dock gällande skadestånd (EU-domstolens dom den 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986). I Sportadmin hänför sig IMY till EU-domstolens avgörande i vissa delar. Utöver vad som framgår av Sportadmin-beslutet kan följande uttalanden i avgörandet noteras i sammanhanget (EU-domstolen uttalar sig bara om PUA, inte PUB): PUA har ett visst handlingsutrymme vid fastställande av vilka säkerhetsåtgärder enligt artikel 32 GDPR som är lämpliga för att säkerställa en riskanpassad säkerhetsnivå, men en prövning måste ändå kunna göras av den komplicerade bedömning som PUA gjort och därigenom kontrollera att de vidtagna åtgärderna är ägnade att säkerställa en sådan säkerhetsnivå (p. 43). En prövning behöver göras inte bara av vad PUA avsett att dess åtgärder ska åstadkomma, utan även konkret av vilken typ av åtgärder som genomförts, vad de bestått i, hur de tillämpats och vilken faktiskt verkan de haft på säkerhetsnivån (p. 45-46).

En annan personuppgiftsincident som är intressant i sammanhanget är dataintrånget år 2022 i det nationella vaccinationsregistret (NVR) som Folkhälsomyndigheten är personuppgiftsansvarig för. Incidenten anmäldes till IMY som följde Folkhälsomyndighetens hantering inom ramen för incident-ärendet, men IMY inledde inte tillsyn (dnr IMY-2022-4942). Såvitt framgår av allmänt tillgängliga källor läckte uppgifter om miljontals barns covid-vaccinationer, dvs. känsliga uppgifter om hälsa i GDPR:s mening. Delar av uppgifterna publicerades därefter på webbplatser för vaccinmotståndare. Likheter med Sportadmin finns alltså. En gissning är att om IMY hade inlett tillsyn så hade myndigheten haft synpunkter på de organisatoriska säkerhetsåtgärder som tillämpats vid anlitandet av den person hos Folkhälsomyndigheten som röjde uppgifterna, utifrån vad som i efterhand kommit fram om dessa åtgärder i allmänt tillgängliga källor. Kontrasten i att NVR-incidenten inte fodrade tillsyn medan Sportadmin-incidenten medför en sanktionsavgift om 6 miljoner kr kan noteras.

Sammantaget framstår det som att Sportadmin-beslutet är i linje med tidigare praxis, även om avvikelser finns avseende när tillsyns inletts av liknande incidenter. Vidare har beslutet gedigen förankring internt hos IMY. Beslutet bör därför vara vägledande förutsatt att det vinner laga kraft.

Kommentar av IMY:s bedömning

Analysen nedan följer IMY:s rubricering i beslutet. Rubrikerna är inte ett uttryck för Certezzas åsikt utan avser att underlätta orienteringen. Vidare gör inte analysen anspråk på att vara heltäckande.

Personuppgiftsansvar

IMY:s motivering av Sportadmins ansvar är kort. IMY uttalar att Sportadmin har varit i huvudsak PUB och i viss mån PUA samt att artikel 32 GDPR är tillämplig för båda rollerna, varför IMY inte närmare bedömer bolagets roll. Därutöver konstaterar IMY (i avsnittet Behandlingen har krävt en hög säkerhetsnivå) att det av utredningen framgår att det är Sportadmin som utformat och tillhandahållit de aktuella tjänsterna och som därmed har haft den faktiska möjligheten att implementera säkerhetsåtgärder. 

Vad gäller den faktiska möjligheten att implementera säkerhetsåtgärder så lär det vara leverantören som har den möjligheten beträffande nästan alla SaaS. Det uttalandet är sålunda inte mycket ledning i sammanhanget. Man kan förstås anta att IMY beaktat att Sportadmin är en professionell part som är så att säga ”stark” jämfört med de flesta idrottsföreningar, vilka troligtvis saknar kompetens och resurser inom aktuellt område – men om detta säger IMY inget.

Det hade det varit belysande med mer resonemang i fråga om ansvarsfördelningen och hänvisningar till vilka bestämmelser eller praxis som IMY grundat sin bedömning på, t.ex. artikel 82 eller artikel 83.2 d) GDPR. Det hade också varit klargörande om betydelsen av PUB:s garantier (jfr artikel 28.1 GDPR) och PUB-avtal i allmänhet berörts i sammanhanget. Nu framstår det som att PUB-avtalen är betydelselösa i relationen mellan ”svaga” PUA och en ”stark” PUB i fråga om säkerheten på sådan här teknisk nivå. Klargöranden i den frågan hade medfört att mindre resurser kunnat ägnas åt PUB-avtalsgranskning och skrivande av PUB-instruktioner etc.

Det är svårt att sia om skälen för att IMY lämnar frågan utan närmare motivering. Prioriteringar är en gissning: Det kan tänkas att IMY försökt undvika att uttala sig om allt möjligt inom ramen för ett och samma beslut, vilket (tidigare) varit ett problem hos IMY och föranlett långa handläggningstider och ibland spretiga beslut. Det kan också tänkas att IMY anser att frågan i lagens mening är uppenbart obehövlig att motivera eftersom Sportadmin såvitt kommit fram inte bestridit ansvar i och för sig (jfr 32 § förvaltningslagen).

Behandlingen har krävt en hög säkerhetsnivå

Enligt artikel 32.1 GDPR ska vilken säkerhetsnivå som krävs bestämmas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de intressen som GDPR avser att skydda. IMY ägnar i beslutet sin uppmärksamhet åt i huvudsak riskerna samt behandlingens art och omfattning. IMY berör däremot inte genomförandekostnaderna för säkerheten, behandlingens sammanhang och ändamålet med behandlingen. Den senaste utvecklingen berörs i viss mån men bedöms inte närmare av IMY.

En inledande reflektion är att IMY bedömt att behandlingen utförs av Sportadmin i huvudsak som personuppgiftsbiträde, vilket som utgångspunkt bör innebär att det i huvudsak är de personuppgiftsansvariga idrottsföreningarnas ändamål, sammanhang och så vidare som ska beaktas vid bedömningen av lämplig säkerhet. Hur man ska se på den saken framgår dock inte av IMY:s beslut men hade varit belysande att få klarhet i.

Idrott som sammanhang får generellt anses vara en mindre känslig verksamhet från GDPR-synpunkt. Personuppgiftsbehandlingen är en bisak för att möjliggöra idrotten och bör som utgångspunkt sällan vara av känslig natur jämfört med t.ex. politisk eller annan idéburen ideell verksamhet där människor vädrar åsikter som kan vara i värsta fall farliga för en om de kommer i orätta händer. Ändamålet med behandlingen är troligtvis inte att säkerställa bästa möjliga skydd för idrottsutövarnas uppgifter, utan snarare något i stil med att leverera en tjänst för att hantera nödvändig administration till en kostnad som är överkomlig. Det sistnämnda anknyter till genomförandekostnaderna för säkerheten och den senaste utvecklingen beträffande säkerheten. Priset för en tjänst liknande Sportadmin är gissningsvis en betydelsefull faktor för idrottsföreningar vid val av motsvarande tjänst. Och bättre säkerhet kostar troligtvis mer.

Det kan noteras att Sportadmin anför (enligt vad som framgår av beslutet) att endast 115 utav 2000 berörda föreningar begärt ersättning av Sportadmin med anledning av incidenten och att blott 25 medlemmar av de drygt 2 miljoner berörda medlemmarna har begärt ersättning från bolaget. Självklart är avsaknad av en begäran om ersättning inte att likställa med att den vars personuppgifter har behandlats är tillfreds. Likväl kan också noteras att Sportadmin anför att incidenten medfört ökade driftkostnader och minskad användarvänlighet, vilket däremot har haft en negativ påverkan på bolagets kundnöjdhet enligt Sportadmin. Inget av detta bemöter IMY. Vidare kan också noteras att enligt IMY:s webbplats så hade det i mars 2025 kommit in ett 20-tal klagomål till myndigheten med anledning av incidenten, av drygt 2 miljoner berörda personer (se här). För jämförelse har IMY fått 1000-tals klagomål mot söktjänster med s.k. frivilliga utgivningsbevis, t.ex. avseende MrKoll och liknande (det exakt antalet framgår inte av allmänt tillgängliga källor). En bild framträder av att Sportadmin-incidenten inte nödvändigtvis upplevs så allvarlig för de som berörs av den men att ökade kostnader för säkerheten kan vara oönskat.

Sammantaget är IMY:s bedömning av att det krävs en hög säkerhetsnivåinkomplett. Saker behöver sättas i sitt sammanhang samt relateras till varför behandlingen sker och vad de som berörs vill.

Sportadmin har inte vidtagit tillräckliga säkerhetsåtgärder

IMY redogör inte i beslutet för vilka standarder eller liknande myndigheten lutar sig mot då den konstaterar att säkerhetsåtgärderna var olämpliga i förhållande till risken, exempelvis ISO/IEC 27034 eller OWASP ASVS. Möjligen skulle dock en sådan redogörelse från IMY rimma illa med att standarden inte på förhand godkänts av IMY eller annan dataskyddsmyndighet i EU (jfr artiklarna 32.3 och 40-43 GDPR, se t.ex. Europrivacy).

Som berörts ovan är beslutet mer tekniskt formulerat än vad som brukar vara fallet för IMY:s beslut, vilket är positivt. Men IMY hade gärna fått vara tydligare med var man hämtat sina resonemang från för att ge ledning kring var andra kan hitta stöd för sitt säkerhetsarbete. Vilka konkreta åtgärder som är lämpliga (jfr EU-domstolens refererade uttalanden ovan i Natsionalna agentsia za prihodite) blir nu istället något som fragmentariskt växer fram tillsyn för tillsyn. Man kan hoppas att IMY:s vägledningsavdelning eller EDPB jobbar på att producera konkret och lättillgänglig guidning i de här frågorna som kan användas på förekommen anledning.

Val av ingripande

IMY har bevisbördan för att sanktionsavgift ska kunna påföras och det ska klart framgå av IMY:s utredning att förutsättningarna för det är uppfyllda. Med hänvisning till att IMY inte fört något resonemang i flera relevanta delar enligt artikel 32.1 GDPR och inte gjort en tydlig proportionalitetsbedömning finns det skäl att ifrågasätta att IMY uppfyllt sin bevisbörda.

Några på sätt och vis liknande fall var IMY:s krav på behörighetsstyrning i vården. IMY:s beslut om sanktionsavgift i de fallen upphävdes av kammarrätt med motiveringen – mellan raderna – att GDPR inte trumfar vårdens behov (se domstolens pressmeddelande med uppgifter om målnr m.m. här). Det ska dock framhållas att i de fallen hade inte någon incident inträffat, vilket är en betydande skillnad jämfört med Sportadmin-beslutet. En incident torde nämligen vara en omständighet som bevismässigt starkt talar för en brist även om incidenten inte i sig är tillräcklig bevisning för det.

Föreningsfrihet på alla nivåer är en rätt som erkänns i EU-stadgas om de grundläggande friheterna (se artikel 12) och som därför ska viktas mot skydd av personuppgifter i enlighet med proportionalitetsprincipen (jfr skäl 4 GDPR). Frågan är om mer av idrottsrörelsens pengar ska gå till att motverka liknande incidenter eller om resurserna ska gå till bollar, puckar, tränare och annat som behövs för idrotten. Det kan ifrågasättas om sanktionsavgift är skäligt mot de barn och vårdnadshavare som detta ytterst berör och som i förlängningen lär få betala boten. En reprimand eller ett föreläggande om att vidta säkerhetsåtgärder framstår som rimligare. 

Det ska bli intressant att följa beslutet i domstol om det överklagas.

Rulla till toppen