Slarv med personuppgifter kan bli dyrt: "Sanktionsavgifterna ska alltid vara effektiva och avskräckande", säger Gustav Linder, jurist vid Datainspektionen.
Myndigheten vill inte kommentera specifikt hur allvarlig incidenten på Örjansskolan är.
Lade ut känsliga uppgifter om elever på kommunens intranät"Vi kommenterar normalt endast ärenden där vi själva gjort en tillsyn", skriver Per Lövgren, pressansvarig i ett mejl.
Enligt Gustav Linder är det extra viktigt att vara varsam med känsliga personuppgifter om exempelvis hälsa.
Ska inte dröja
Men Norran tar kontakt med Datainspektionens jurist Gustav Linder för att få veta hur allvarlighetsgraden i ett ärende bedöms.
– Ju längre tid det tar innan en incident anmäls desto allvarligare är det, säger han.
Läckta elevuppgifter – rektor dröjde med anmälan: ”Kände inte till att vi måste göra det”Dessutom spelar det in hur snabbt man agerar när incidenten uppdagas och om man vidtar åtgärder för att avhjälpa problemet direkt.
– Dröjer man länge är det negativt.
Barn särskilt skyddsvärda
Hur länge materialet ligger ute till beskådan har också betydelse.
Antalet personer som påverkas av incidenten spelar också roll.
– Det kan bedömas som allvarligare om personerna tillhör en kategori som är särskilt skyddsvärda, exempelvis barns uppgifter eller känsliga uppgifter som rör hälsa, säger han.
Vad kan konsekvenserna bli?
– Om vi gör en tillsyn och kommer fram till att man brustit i sitt säkerhetsarbete kan verksamheten bli skyldig att betala en sanktionsavgift, säger Gustav Linder.
När det gäller kommuner och offentliga myndigheter finns två maxnivåer på böterna.
Fem till tio miljoner
Den övre gränsen är på max tio miljoner kronor och gäller allvarligare brister av principiell karaktär, exempelvis brister som gäller de grundläggande principerna för personuppgiftsbehandling och de särskilda regler som gäller för behandling av känsliga personuppgifter.
Den lägre gränsen är på max fem miljoner kronor och gäller mindre allvarliga överträdelser. Det kan handla om administrativa brister, brister i skyldighet att anmäla personuppgiftsincidenter och brister i en organisations säkerhetsarbete.