스웨덴 사이클 연맹, 신변 보호 대상자 신원 노출… IMY 조사 결과 발표
사이클 연맹, 신변 보호 대상자 정보 유출 혐의로 제재
스웨덴 사이클 연맹이 신변 보호를 받는 직원의 신원을 노출하고 위험에 빠뜨린 사실이 스웨덴 데이터 보호 기관인 extbf{인테그리테트스슉츠미엔디그헤텐(Integritetsskyddsmyndigheten, IMY)}의 조사 결과 드러났습니다. IMY는 이 사건과 관련해 제재 결정을 내렸습니다.
사건의 전말: 신변 보호 대상자 '에바'의 고통
디렌(DN)은 익명으로 보호된 피해자를 '에바'라고 칭했습니다. 에바는 2022년 4월부터 신변 보호를 받으며 생활해 왔습니다. 그녀는 2022년 12월 고용주에게 이 사실을 증명하는 서류를 제출했습니다. 에바는 2023년 6월, 새로운 사무실로 이전하는 과정에서 자신의 이름과 연맹의 주소가 웹사이트에 공개되면서 신원이 노출되었다고 주장했습니다.
IMY 조사 및 결정: 개인 정보 보호 위반
IMY는 개인정보보호법 17.1d항, 즉 '개인의 삭제 권리'와 '불법적으로 처리된 개인 정보는 지체 없이 삭제되어야 한다'는 규정에 따라 이 사건을 조사했습니다. 에바는 7월, 8월, 9월에 걸쳐 해당 정보 삭제를 요청했지만, 연맹 측은 이에 응하지 않았습니다. 연맹은 IMY에 제출한 답변에서 서면 또는 구두 요청 증거가 없다고 주장했습니다.
에바의 거주 지역 관계 폭력 대응팀은 7월 에바에게 위험 수준이 4단계 중 3단계인 '심각한 위험'이라고 통보했습니다. 이들은 에바에게 상사를 경찰에 고발할 것을 권고했고, 에바는 실제로 고발했습니다.
당시 우리는 아직 어디에 있는지 아무도 몰랐습니다.
9월, DN은 에바와 그녀의 상사 간의 녹취록을 입수했습니다. 이 녹취록은 IMY 조사에도 사용되었습니다. 상사는 이메일을 통해 에바의 이름과 연맹의 새 주소를 공개했고, 에바가 오전 8시부터 오후 5시까지 근무한다는 정보를 명시했음을 인정했습니다.
에바는 이에 대해 "저의 신변 보호 정보를 유출한 것입니다."라고 말했고, 상사는 "당신이 너무 과민하게 반응하는 것 같습니다."라고 답했습니다.
"사무실 주소를 바꾸기 전까지, 저는 extbf{릭스이르도트스포르분데트(Riksidrottsförbundet, 스웨덴 스포츠 연맹)}에 연락하여 그들에게 우편함 사용을 계속 허가받았습니다. 당시에는 아무도 우리가 어디에 있는지 몰랐습니다. 저는 계속 우편함을 사용하고 싶었습니다."라고 에바는 설명했습니다.
2023년 12월, 에바는 IMY에 이 사실을 신고했고, IMY는 2024년 4월 감사를 시작했습니다. 이후인 5월에야 연맹 웹사이트의 정보 변경 절차가 시작되었습니다.
연맹의 반박과 IMY의 판단
사이클 연맹은 IMY에 제출한 의견서에서 에바의 정보가 데이터 보호 규정을 위반하지 않았다고 주장했습니다. 또한 에바 본인이 정보를 변경할 권한이 있었다고 밝혔습니다. 에바는 정보 변경 권한이 개인정보보호 책임자가 되는 것을 의미하지 않으며, 책임은 항상 고용주에게 있다고 반박했습니다.
IMY는 사이클 연맹이 에바의 신변 보호 사실을 알고 있었으므로, 에바에 대한 정보를 자체적으로 삭제해야 했다고 판단했습니다.
IMY는 결정문에서 다음과 같이 밝혔습니다.
신변 보호를 받는 사람의 거주지를 무단으로 공개하는 행위는 해당 개인의 생명과 건강에 즉각적인 위험을 초래할 수 있습니다… 연맹의 이익은 상대적으로 가볍게 여겨지며, 이해 관계자와 연맹 간의 연락은 특정 직원의 이름을 밝히지 않고도 이루어질 수 있습니다.
에바는 IMY의 결정에 대해 기쁨과 안도감을 표하며, 개인 정보가 부적절하게 처리되었다는 자신의 입장이 확인된 것에 대해 "오랜 과정 끝에 긍정적인 소식을 접하게 되어 개인적으로 큰 힘이 되며, 앞으로도 굳건하게 나아갈 동기를 얻었습니다."라고 밝혔습니다.
IMY는 이 위반이 경미한 수준이 아니라고 판단하여 제재 조치를 내렸습니다. 연맹의 2024년 매출액은 26,784,440 크로나였으며, 4% 규정을 적용하면 수백만 크로나의 벌금이 부과될 수 있었지만, 비영리 단체이며 상업적 목적이 없고, 대부분 공적 기금으로 운영된다는 점을 고려하여 50,000 크로나의 제재금을 부과했습니다.
저는 복수를 원하지 않습니다.
2024년 6월, 조직 개편으로 인해 에바는 업무 과다를 이유로 해고되었습니다. 그녀는 이를 자신이 제기한 고발에 따른 결과로 보고 있습니다.
"사이클 연맹은 IMY에 제출한 답변에서 저를 폄하하려 했고, 제가 연맹에 해를 끼치려는 의도가 있다고 주장했습니다. 저는 복수를 원하지 않지만, 그들이 한 일을 널리 알리고 싶습니다."라고 에바는 말했습니다.
연맹의 입장과 향후 전망
DN은 사이클 연맹에 연락을 시도했지만, IMY의 결정에 대해 현재로서는 입장을 밝히지 않았습니다.
에바는 IMY의 결정을 근거로 사이클 연맹을 상대로 손해 배상 소송을 제기할 예정입니다.
IMY 감사 결과의 영향
- extbf{인테그리테트스슉츠미엔디그헤텐(IMY)}은 데이터 보호 규정 준수 여부를 감독합니다.
- IMY는 규정을 위반하거나 위반할 위험이 있는 사람에게 시정 조치를 요구할 수 있습니다.
- 위반 발생 위험이 있는 경우 경고를 발령할 수 있습니다.
- 경미한 위반 시 견책 조치를 내릴 수 있습니다.
- 개인 정보 처리에 대한 조치를 명령할 수 있으며, 처리 제한 및 금지도 가능합니다.
- 시정 조치 대신 제재금을 부과할 수 있습니다.
- 제재금액은 특정 위반에 대한 '가격표'가 없으며, 최소 0크로나에서 최대 금액까지 부과될 수 있습니다.
- IMY는 심각한 위반과 경미한 위반을 구분합니다.
- 공공기관의 경우 최대 벌금은 1,000만 크로나(경미한 위반 시 500만 크로나)입니다. 공공기관이 아닌 경우 최대 벌금은 2,000만 유로 또는 기업의 경우 전 세계 연간 매출액의 4% 중 더 높은 금액을 부과합니다(경미한 위반 시 1,000만 유로 또는 2% 중 더 높은 금액).
- IMY는 위반의 고의성, 위반 기간, 피해자 수, 피해 정도, 피해 최소화를 위한 조치 등을 고려합니다.
- 벌금은 효과적이고, 비례하며, 억제적인 제재여야 합니다.
자료: IMY
Svenska cykelförbundet exponerade en medarbetare med skyddad identitet och utsatte henne för risker.
Det konstaterar Integritetsskyddsmyndigheten i ett beslut.
Medarbetaren, som DN väljer att kalla Eva, lever med skyddad identitet sedan april 2022.
Hon inkom med intyg om detta till arbetsgivaren i december 2022.
Hon anser sedan att hennes identitet röjdes i juni 2023 – i samband med flytt till nya lokaler – när hennes fullständiga namn och förbundets adress skrevs ut på hemsidan.
Integritetsskyddsmyndigheten (IMY) har utrett hennes fall med hänvisning till paragraf 17.1d i dataskyddsförordningen, det vill säga att en registrerad har "rätt till radering" och att det ska ske "utan dröjsmål" om "personuppgifterna har behandlats på olagligt sätt".
Enligt Eva begärde hon under juli, augusti och september att uppgifterna skulle raderas – utan gensvar.
Förbundet ifrågasätter dock detta och skrev i sitt svar till IMY att varken skriftliga eller muntliga underlag för begäran inkommit.
Enligt ett intyg i juli från Relationsvåldteamet i Evas stadsdel befinner sig Eva på farlighetsnivå 3 av 4 vid denna tid: "allvarlig fara råder".
De råder henne att polisanmäla chefen, vilket hon gör.
Då visste fortfarande ingen var vi satt.
DN har tagit del av ett inspelat samtal mellan Eva och hennes chef i september, som också varit en del i IMY:s underlag, där chefen medger att han i mejl skrivit ut Evas fullständiga namn och förbundets nya adress och att hon finns på plats klockan 08–17.
Eva: "Det är att röja min skyddade plats." Chefen: "Nu tycker jag i och för sig att du övertolkar väldigt mycket." – Fram till att vi bytte kontorsadress så hade jag fixat med Riksidrottsförbundet så att vi fick ha kvar vår postbox hos dem.
Då visste fortfarande ingen var vi satt.
Jag ville fortsätta ha en postbox, berättar Eva.
I december 2023 anmäler Eva till IMY, som inleder ett tillsynsärende i april 2024.
Först därefter, i maj, påbörjas processen om att ändra informationen på förbundets hemsida.
I sitt yttrande till IMY bestred Cykelförbundet att Evas uppgifter behandlats i strid med dataskyddsförordningen.
Det angav även att Eva själv haft behörighet att ändra uppgifterna.
Eva svarade att kunskapen att ändra en uppgift inte betyder att hon var personuppgiftsansvarig, utan att det ansvaret alltid åligger arbetsgivaren.
Cykelförbundet borde ha raderat uppgifterna om Eva på eget initiativ, eftersom det hade kunskap om hennes skyddade identitet, skriver IMY i sitt beslut.
Foto: Mathias Bergeld/Bildbyrån I sitt beslut bedömer IMY att förbundet varit personuppgiftsansvarig i ärendet.
Myndigheten konstaterar också att ord står mot ord vad gäller om Eva inkom med begäran om radering.
Men om en personuppgift behandlats på ett olagligt sätt så kan den personuppgiftsanvarige vara skyldig att radera uppgifter på eget initiativ, och de rekvisiten anses vara uppfyllda.
IMY skriver: "Ett obehörigt röjande av vistelseorten för en person som har skyddad folkbokföring kan medföra omedelbara risker för personens liv och hälsa … förbundets intresse väger förhållandevis lätt, då kontakter mellan intressenter och förbundet kan ske även utan att specifika befattningshavare namnges." Eva känner lättnad och glädje efter IMY:s beslut och att myndigheten bekräftar hennes syn på att personuppgifterna hanterats felaktigt.
– Det positiva beskedet betyder mycket för mig personligen, och jag känner mig stärkt och motiverad att fortsätta framåt efter en lång utdragen process, säger Eva.
IMY anser att överträdelsen inte är så kallat mindre allvarlig, då en reprimand kan utfärdas, utan beslutar att förbundet ska betala en sanktionsavgift.
En sanktionsavgift ska bedömas utifrån årsomsättning och förbundets intäkter för 2024 uppgick till 26 784 440 kronor.
Sanktionsavgiften kunde därmed ha landat på ett miljonbelopp, om fyraprocentsregeln tillämpats, men även maxbeloppet 20 miljoner euro.
Myndigheten gör dock bedömningen att då förbundet är en ideell verksamhet, utan kommersiellt syfte och till stor del finansierad av offentliga bidrag, är en avgift på 50 000 kronor tillräcklig i avskräckande syfte.
Jag är inte ute efter hämnd.
En omorganisation leder till att Eva i juni 2024 sägs upp på grund av arbetsbrist.
Hon ser det som en efterföljande konsekvens av den polisanmälan hon gjorde.
– Cykelförbundet försökte svartmåla mig i svaret till IMY, de försökte påtala att jag har en agenda att skada förbundet.
Jag är inte ute efter hämnd men jag vill gärna att det kommer ut vad de har gjort, säger Eva.
DN har varit i kontakt med Cykelförbundet som i detta läge väljer att inte kommentera Integritetsskyddsmyndighetens beslut.
Med IMY:s beslut som grund kommer Eva nu att gå vidare med en skadeståndsprocess mot Cykelförbundet.
Fakta.Vad en IMY-granskning kan leda till Integritetsskyddsmyndigheten (IMY) kontrollerar att bestämmelserna i dataskyddsförordningen följs.
IMY kan rikta så kallade korrigerande befogenheter mot den som bryter, eller riskerar att bryta mot reglerna.
En varning kan utfärdas om en överträdelse riskerar att äga rum.
En reprimand kan utfärdas vid mindre allvarliga överträdelser.
Ett föreläggande om åtgärder vid behandling av personuppgifter kan utfärdas.
En begränsning av behandlingen samt ett förbud mot behandlingen kan också införas.
Alternativet till korrigerande åtgärder är att ta ut en sanktionsavgift.
Det finns ingen "prislapp" för storleken på sanktionsavgiften för en viss överträdelse.
Spannet är därför mellan 0 kronor och ett maxbelopp.
IMY skiljer på allvarliga och mindre allvarliga överträdelser.
För myndigheter är maxbeloppet 10 miljoner kronor (5 miljoner för mindre allvarliga).
För andra än myndigheter är högsta maxbeloppet 20 miljoner euro eller, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst (10 miljoner euro eller två procent för mindre allvarliga överträdelser).
IMY ska ta hänsyn till om överträdelsen är oaktsam eller avsiktlig, hur lång tid överträdelsen har pågått, hur många som har drabbats, hur stor skadan är samt vad som gjorts för att begränsa skadorna.
Avgiften ska vara en effektiv, proportionell och avskräckande sanktion.
Källa: IMY Visa mer Visa mindre
