Logga in

Glömt ditt lösenord?

Sanktioner och skadestånd – vad kan incidenter som Sportadmin lära oss?

Integritetsskyddsmyndigheten utfärdade en sanktionsavgift på 6 miljoner kronor efter en incident hos Sportadmin, som ledde till att drygt 2,1 miljon svenskars personuppgifter på grund av en säkerhetslucka hamnade på Darknet. I beslutet utgick myndigheten bland annat från EU-domstolens praxis kopplad till skadestånd. I analysen går vår expert Monika Wendleby, partner på Passacon AB, igenom beslutet i förhållande till både sanktions- och skadeståndsbestämmelserna i dataskyddsförordningen.  

Bakgrund 

Av Integritetsskyddsmyndighetens (IMY) beslut 2026-01-26 (dnr IMY-2025-7801) kan följande utläsas: 

Sportadmin i Skandinavien AB (Sportadmin) stödjer många föreningar i Sverige genom att tillhandahålla digitala kommunikationstjänster i form av bland annat ett webbaserat administrationsverktyg för medlemshantering, fakturering och hemsidor samt en mobilapplikation som används av föreningarnas ledare, medlemmar och medlemmars målsmän. I den rollen är Sportadmin ett personuppgiftsbiträde. 

I juni 2022 förändrade Sportadmin sin webbkod varvid en särskild variabel infördes på en av Sportadmins webbsidor. När variabeln lades till förbisåg Sportadmin att tillämpa sin befintliga säkerhetsmetod för skydd mot SQL-injektioner. Denna brist ledde sannolikt till att en hotaktör lyckades med ett angrepp i januari 2025. Incidenten försvårades även av att bolaget tilldelat för höga tillåtna rättigheter i de delar av tjänsten där intrånget skedde samt att SQL-servern även tillät körning av externa programfiler, exempelvis Powershell-script. 

Mellan 2022 och 2025 inträffade en hel del intressanta omständigheter som också visade sig få betydelse. Sportadmin identifierade redan 2021 en höjd risk för dataintrång via SQL-injektioner. När säkerheten uppdaterades under 2023–2024 missade bolaget svagheten. Intressant är också att bolaget under 2024 även undersökte om det kunde införa förstärkt säkerhet genom Web Application Firewall (WAF) men detta genomförde inte på grund av höga kostnader. 

Den 16 januari 2025 upptäckte Sportadmin att det skett ett intrång i tjänsterna och påbörjade en utredning med stöd av en extern säkerhetspartner. Utredningen indikerar att det även förekommit upprepade försök till SQL-injektioner sedan morgonen den 14 januari 2025. 

Incidenten, som omfattade 2 126 075 fysiska personer, som var identifierbara via personnummer, var ett faktum. I detta läge hamnade många ideella föreningar i ett prekärt läge där de både behövde utreda incidenten och lämna in incidentanmälningar samt informera de registrerade. Av IMY:s beslut framgår att Sportadmin i detta läge bistod föreningarna i arbetet, vilket kom att beaktas som en förmildrande omständighet (och därigenom sannolikt minskade sanktionsbeloppet något). 

Integritetsskyddsmyndighetens beslut 

IMY valde att inleda tillsyn mot Sportadmin (och inte de drabbade föreningarna) under våren 2025. Drygt ett år efter att incidenten inträffade meddelade myndigheten sitt beslut.

I beslutet konstaterar IMY att Sportadmin hade behandlat personuppgifter i strid med artikel 32.1 dataskyddsförordningen genom att inte vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgifterna i sina tjänster. Bristerna avsåg både tiden innan och förhållandena vid tidpunkten för personuppgiftsincidenten.  

Myndigheten beslutar även att, med stöd av artiklarna 58.2 och 83 i dataskyddsförordningen, Sportadmin ska betala en administrativ sanktionsavgift på 6 miljoner kronor för nämnda överträdelsen  

Övriga relevanta omständigheter 

I beslutet listar IMY ett antal faktorer (förutom dem jag nämnt tidigare) som hade betydelse i beslutsfattandet: 

  • Läckan omfattade många personuppgifter: Fullständiga namn och kontaktuppgifter, kön, personnummer, relation mellan målsman och medlem, nationalitet samt den idrott och förening som en registrerad varit kopplad till. 
  • Vidare fanns känsliga personuppgifter om funktionsnedsättningar och allergier 
  • Många barn och ungdomar (vilka brukar ses som ”utsatta registrerade”) drabbades 
  • I underlaget som läckte fanns även skyddade personuppgifter. 

I bedömningen konstaterade IMY, mot bakgrund av det som nämns i punkterna ovan, att ”…behandlingen inneburit höga risker för de registrerades rättigheter och friheter”. Att känsliga personuppgifter omfattas innebar enligt myndigheten att behandlingen till och med anses utgöra ett ”…synnerligen allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter”, vilket får ses som klar förstärkning av en redan allvarlig bedömning. 

Intressant rättslig utgångspunkt 

När IMY redovisar sina rättsliga bedömningar utgår myndigheten bland annat ifrån rättsfallet C-340/21 (VB mot Natsionalna agentsia za prihodite) som rörde en personuppgiftsincident i skattedatabasen, vilken omfattade 6 miljoner bulgariska skattebetalare. Rättsfallet handlade dock inte om att en tillsynsmyndighet prövat en sanktion enligt artikel 83 dataskyddsförordningen, utan att VB hade väckt talan om skadestånd enligt artikel 82 dataskyddsförordningen på grund av att hen ansåg sig ha förlorat kontrollen över sina personuppgifter på grund av incidenten.  

Trots att domen alltså inte rör tillsynsmyndigheters sanktionsbedömning angav IMY angav följande i beslutet: 

”EU-domstolen har uttalat att hänvisningen i artikel 32 till en ’säkerhetsnivå som är lämplig i förhållande till risken’ respektive ’lämplig säkerhetsnivå’ visar att det genom förordningen inrättats ett riskhanteringssystem och att ambitionen med förordningen inte på något sätt är att eliminera riskerna för personuppgiftsincidenter. Bestämmelsens ordalydelse innebär endast en skyldighet för den personuppgiftsansvariga att vidta tekniska och organisatoriska åtgärder för att i möjligaste mån undvika personuppgiftsincidenter. Bedömningen av om sådana åtgärder är lämpliga ska ske utifrån de konkreta omständigheterna i det enskilda fallet”. 

Vid ett första påseende kan citatet verka rimligt att utgå ifrån i bedömningen. Nedan ska jag dock göra en fördjupad analys om det är korrekt av IMY att tillämpa rättsfallet i sin bedömning enligt artikel 83 dataskyddsförordningen. Jag kommer även dela några tankar kring sambandet mellan sanktioner och skadestånd för personuppgiftsansvariga och personuppgiftsbiträden som kan kopplas till incidenter. 

Andra intressanta avgöranden från EU-domstolen att beakta 

I mål C-741/21 (GP mot juris GmbH) prövade EU-domstolen frågan om förhållandet mellan artikel 82 och 83 dataskyddsförordningen. Domstolen klargjorde då att artiklarna ”…eftersträvar olika mål.  

Medan artikel 83 fastställer ´[a]llmänna villkor för påförande av administrativa sanktionsavgifter, reglerar artikel 82 …´[a]nsvar och rätt till ersättning´ ” EU-domstolen konstaterade därför att de ”… i artikel 83 i dataskyddsförordningen angivna kriterierna för att fastställa storleken på de administrativa sanktionsavgifterna kan inte användas för att beräkna skadeståndet enligt artikel 82 i förordningen”. 

I IMY:s fall var situationen den omvända, nämligen att myndigheten använde en bedömning kopplad till artikel 82 dataskyddsförordningen för att bedöma en sanktion enligt artikel 83 samma förordning. Utifrån EU-domstolens dom kan detta enligt min mening vara vanskligt, då syftena med artiklarna är helt olika.  

Till saken hör att det finns en lång lista av kriterier att bedöma enligt artikel 83 dataskyddsförordningen som påverkar sanktionsbeloppets storlek. Dessa kriterier kopplas i tillsynsbeslutet ihop med de omständigheter som myndigheten anser vara försvårande (se beskrivningarna i de tidigare avsnitten).  

När det gäller skadestånd kan man dock enligt ett rätt färskt avgörande från EU-domstolen (se mål C-655/23, IP mot Quirin Privatbank AG) inte beakta den typen av försvårande omständigheter som var avgörande i IMY:s sanktionsbeslut när man avgör skadeståndsbelopp. Domstolen uttalade nämligen: 

”Ansvar enligt artikel 82 i dataskyddsförordningen förutsätter ett vållande från den personuppgiftsansvariges sida. Ett sådant vållande presumeras föreligga såvida inte den personuppgiftsansvarige kan visa att denne inte på något sätt kan tillskrivas ansvar för den skadegrundandehandlingen.  

Artikel 82 medför inte krav på att den personuppgiftsansvariges grad av vållande ska beaktas vid bedömningen av storleken på det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna artikel”. 

Domstolen fortsatte:  

”Närmare bestämt gäller att den omständigheten att rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen har en rent kompensatorisk funktion utgör hinder för att det vid bedömningen av storleken på den ersättning som ska lämnas med stöd av den bestämmelsen tas hänsyn till den personuppgiftsansvariges grad av vållande och till den eventuella avsiktliga karaktären av den överträdelse av förordningen som denne gjort sig skyldig till”. 

Enligt min mening måste en tillsynsmyndighet därför vara försiktig när den använder uttalanden från EU-domstolen i mål rörande skadestånd när den bedömer allvarligheter i sanktioner. När IMY utgick från skrivningarna om artikel 32 dataskyddsförordningen i C-340/21 i sitt beslut kan detta alltså innebära en viss risk för feltolkningar. Jag delar visserligen IMY:s bedömning att artikel 32 dataskyddsförodningen visar att ambitionen med dataskyddsförordningen inte är att eliminera incidenter. Effekterna av oaktsamhet och vållande från den personuppgiftsansvarige i brister enligt artikel 32 dataskyddsförordningen kan dock enligt min mening få helt olika utfall om man bedömer en sanktion eller en skadeståndsfråga. Åtminstone blir det min slutsats när jag tittar på domstolens avgöranden. 

Kan registrerade som drabbades av Sportadmin-läckan ha nytta av tillsynsbeslutet? 

En annan intressant fråga som beslutet väcker är om beslutet kan vara ett stöd för en registrerad som vill begära skadestånd. Eller om man formulerar detta utifrån de personuppgiftsansvarigas (föreningarnas) eller personuppgiftsbiträdets (Sportadmins) perspektiv: hur stor är risken att de kan behöva betala skadestånd om de registrerade begär ett sådant? 

För att besvara de här frågorna är det viktigt att utgå ifrån de kriterier som EU-domstolen i flera rättsfall (bland annat C-340/21) fastslagit för att ett skadestånd kan utgå: 

  1. Det ska finnas en skada som en registrerad har lidit (den registrerade har bevisbördan). 
  2. Det ska finnas en överträdelse av dataskyddsförordningen. 
  3. Det ska finnas ett orsakssamband mellan skadan i punkt 1 och överträdelsen i punkt 2. En personuppgiftsansvarig eller, som i IMY:s tillsynsbeslut, ett biträde kan endast undgå skadeståndsansvar om den visar att den inte på något sätt är ansvarig för den skadevållande händelsen.

Integritetsskyddsmyndighetens bedömning av den faktiska skadan för registrerade 

EU-domstolen har klargjort (bland annat i ovan nämnda C-340/21 och C-655/23) att i begreppet immateriell skada kan ingå att man förlorar kontroll över sina personuppgifter, i vilket fruktan för framtida händelser kan ingå.  

Den bedömning som IMY gör i tillsynsbeslutet rörande Sportadmin visar enligt min mening tydligt att en sådan välgrundad fruktan borde finnas för alla drabbade:  

”Bristerna i skyddet för personuppgifterna har lett till att hotaktören kunnat bereda sig tillgång till och därefter publicera personuppgifter från tjänsterna på Darknet. IMY konstaterar att en obehörig åtkomst till den typ av personuppgifter som behandlas i tjänsterna medför en hög risk för skada för de registrerade. Detta särskilt med beaktande av att EU-domstolen uttalat att skada kan uppkomma för registrerade redan vid förlust av kontroll över egna personuppgifter, även om det inte förekommit något konkret missbruk av uppgifterna i fråga. Sportadmins bristfälliga agerande har därmed, enligt IMY, haft stor påverkan på de registrerades fri- och rättigheter”. 

I en annan del av beslutet finns liknande skrivningar: ”Obehörigt röjande av eller obehörig åtkomst till personuppgifterna har kunnat leda till allvarliga konsekvenser för de berörda personerna”. 

Om en registrerad gör gällande att den fruktar för framtida konsekvenser har den tydligt stöd i IMY:s beslut. Eftersom det genom IMY:s beslut dessutom är klarlagt att det finns en överträdelse av dataskyddsförordningen och att biträdet inte vidtagit ”…lämpliga säkerhetsåtgärder i förhållande till identifierade risker” lär även både kriterium 2 och 3 (se punkterna i föregående avsnitt) vara för handen. Det finns därför en risk att sanktionsbeloppet inte blir den enda bördan för Sportadmin utan att det också kommer skadeståndskrav som behöver hanteras. Kanske kommer även drabbade föreningar behöva hantera sådana. 

Vad behöver den egna organisationen göra? 

Under senaste år har flera stora personuppgifts incidenter identifierats. Sportadmin hör till en av de mest omfattande. En liknande omfattning har även den senare inträffade Miljödata-läckan, som föranlett tillsyn både hos biträdet och hos två personuppgiftsansvariga kommuner. 

Genom Sportadmin-beslutet har IMY klargjort att även personuppgiftsbiträden riskerar tillsyn och sanktioner om det finns brister i efterlevnaden av förordningskraven. Som framgår av Miljödata-fallet kan IMY välja att även inleda tillsyn mot personuppgiftsansvariga. Detta inskärper även vikten av att personuppgiftsansvariga har kontroll över sina biträden. 

Sanktionsbeloppen kan bli betydande, men både personuppgiftsansvariga och personuppgiftsbiträden behöver även beakta att det kan uppstå en omfattande skadeståndsskyldighet. Med flera miljoner drabbade personer kan skadeståndskraven bli omfattande, särskilt om dessa samordnas. Eftersom skadestånd ska vara kompensatoriska tas i den bedömningen ingen hänsyn till personuppgiftsansvarigas/biträdens ekonomiska situation utan utgångspunkten är hur hårt skadan drabbat de registrerade. Enligt IMY kan läckan leda till allvarliga konsekvenser för dem redan genom att uppgifterna läckt till Darknet. Redan detta lär därför ofta kunna ses som en ersättningsgill immateriell skada. Skulle det dessutom uppstå faktiska bedrägerier eller andra ekonomiska skador som kan kopplas till läckorna blir skadorna än mer allvarliga.  

Till det kommer att både personuppgiftsansvariga och biträden riskerar att få lägga ett omfattande jobb på hanteringen av skadeståndsbegäranden och kanske även begäranden om registerutdrag och radering.  

Det är därför en klok strategi för personuppgiftsansvariga att strama upp arbetet med personuppgiftsbiträden, både att säkra säkerhetskunnande och åtgärder i förväg innan biträdet utses och fortlöpande följa upp dem. För många personuppgiftsansvariga ska liknande arbete också göras i förhållande till säkerhetsskyddslagen (2018:585) och cybersäkerhetslagen (2025:1506).  

För personuppgiftsbiträden kan det röra sig om en överlevnadsstrategi att ta dessa frågor på allvar också för att händelserna påverkar varumärke och förtroende. Av IMY:s beslut framgår att Sportadmin valde bort en rimlig säkerhetsåtgärd eftersom den var för kostbar. Med eftertankens kranka blekhet är det nog något som företaget bittert ångrar.  

Analys av Integritetsskyddsmyndighetens beslut 2026-01-26, dnr IMY-2025-7801.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 16 feb 2026

Monika Wendleby

Jurist, managementkonsult och författare av GDPR-böcker

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

IT-avtal och offentlig upphandling i praktiken
IT-avtal och offentlig upphandling i praktiken
Cybersäkerhetslagen NIS2 – vad innebär den för din organisation?
Cybersäkerhetslagen NIS2 – vad innebär den för din organisation?
Cybersäkerhetslagen NIS2 i praktiken
Cybersäkerhetslagen NIS2 i praktiken
Se alla kurser inom it och dataskydd

Tjänster

JP ITnet

Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.

Webbkursbibliotek

Säkra en juridisk grundkompetens till alla i din organisation med en flexibel, effektiv och lättillgänglig kompetensutveckling.

Lagkommentar till öppna data-lagen

Lagkommentaren är skriven av Monika Wendleby. Kommentaren beskriver rättsläget och behandlar frågor som är relevanta för den praktiserande juristen.
Se alla tjänster inom it och dataskydd

Nyheter

Dataskydd och informationssäkerhet – vad är skillnaden?
IT och dataskydd

Vår dataskyddsjurist Moa Lundgren förklarar skillnaden.

2 feb 2026

Anpassningar till AI-förordningen – en ny spelplan för svensk förvaltning och innovation
IT och dataskydd

Denna analys redogör för de centrala förslagen med särskilt fokus på den institutionella arkitekturen, sanktionssystemet och balansen mellan tillsyn och innovationsfrämjande åtgärder.

2 feb 2026

Förslag om att polisen ska få använda AI för ansiktsigenkänning i realtid
IT och dataskydd

Regeringen har beslutat om en lagrådsremiss med förslag på en ny lag som skulle ge polisen rätt att använda AI för ansiktsigenkänning i realtid.

2 dec 2025

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor