Bakgrunden är att IMY fått in klagomål om att Indecap skickat ut mejl till ett stort antal kunder med uppgifter om andra kunders ekonomi. IMY:s granskning visar att bolaget — precis som anmälaren noterat — råkat bifoga ett Excel-dokument med underlag till en rapport med kunders personuppgifter, i stället för det pdf-dokument över fondutveckling som skulle skickas till kunderna.
Excelfilen innehöll bland annat uppgifter om kunders namn, personnummer, bank, mailadress, enskilt fondval samt det senast inlästa värdet av kundens innehav i dessa fonder. Totalt innehöll filen uppgifter om över 52 000 kunder. Dock fanns inga uppgifter om kontonummer eller inloggningsuppgifter.
När missen upptäcktes stoppades utskicket. IMY:s granskning visar att upp till drygt 2 800 kunder kan ha fått mejlet med den bifogade filen.
— Bolaget uppger att felet orsakades av den mänskliga faktorn. I vår rapport över de personuppgiftsincidenter som rapporterades in till oss förra året framgår att 6 av 10 incidenter orsakas av just mänskliga faktorn. Det belyser vikten av att ha tekniska och organisatoriska säkerhetsåtgärder på plats just för att minimera risken för fel orsakade av den mänskliga faktorn, säger Evelin Palmér, jurist på IMY, i en kommentar.
IMY konstaterar i sitt beslut att bolaget har behandlat personuppgifter i strid med dataskyddsförordningen genom att inte ha säkerställt en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen. IMY utfärdar därför en administrativ sanktionsavgift på 500 000 kronor mot bolaget.
Indecap ägs till större delen av ett antal av Sveriges sparbanker och beskrivs som en oberoende fondurvalsexpert som lotsar investerarna till de bästa fondvalen och som löpande anpassar placeringarna till rådande marknadsförutsättningar.
Här kan du som har ett abonnemang på Sak & Liv Premium ta del av sanktionsbeslutet om Indecap.