Efter att ha genomfört en granskning av dataintrånget, då 2,1 miljoner personuppgifter läckte från SportAdmin, har IMY nu beslutat att bolaget ska betala en sanktionsavgift på 6 miljoner kronor. Enligt myndigheten har bolaget inte efterföljt kraven i dataskyddsförordningen.
”Sammantaget bedömer IMY att Sportadmin inte har vidtagit tillräckliga åtgärder för att säkerställa att personuppgifterna som behandlats i bolagets tjänster skyddats mot risken för bland annat obehörigt röjande eller obehörig åtkomst till följd av dataintrång,” skriver IMY i beslutet.
Läckan omfattade bland annat personers namn, personnummer, adress och kontaktuppgifter. En stor del av uppgifterna räknas också som känsliga personuppgifter, exempelvis funktionsnedsättningar och andra medicinska uppgifter. Även personer med skyddad identitet har fått sina uppgifter läckta, trots att sådana uppgifter inte skulle behandlas i tjänsten.
IMY konstaterar att bolaget saknade tillräckliga skyddsåtgärder för att förhindra den typ av dataintrång som inträffade. Myndigheten pekar också på att bolaget inte kunnat uppvisa några säkerhetsåtgärder på plats för att upptäcka och stoppa attacken. De åtgärder som vidtagits genomfördes först efter intrånget.
Koncernbolagets årsomsättning som grund för bot
Det börsnoterade bolaget Lime Technologies Sweden AB förvärvade Sportadmin i januari 2024, och därför baseras också boten på deras årsomsättning, menar IMY.
Beräkningen av sanktionsavgiften beräknas alltså på två procent av nästan 700 miljoner kronor – motsvarande 13,7 miljoner kronor. Eftersom läckan bara skedde hos Sportadmin, och inte i övriga delar av koncernen, räknades dock sanktionsavgiften ned till 6 miljoner kronor.
Sportadmin i Skandinavien AB, som ägde bolaget innan Lime Technologies förvärvade samtliga aktier, omsatte 54 miljoner kronor under 2024. Om IMY i stället hade beräknat sanktionsavgiften utifrån den omsättningen hade boten landat omkring en miljon kronor.
