Appen Sportadmin används av idrottsföreningar för medlemslistor och kallelser till träningar. Appen blev hackad, och senare har uppgifter om mer än två miljoner användare publicerats nätet. Vissa av användarna har mycket känsliga personuppgifter, har DN rapporterat.

Verksamheter är enligt dataskyddsförordningen GDPR skyldiga att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) i vissa fall.

– Det finns en skyldighet om det inte är osannolikt att det kan medföra en risk för personers fri- och rättigheter, säger Viktor Johnsson, jurist på IMY till SVT.

Myndigheten har tagit emot en sådan anmälan från Sportadmin, skriver de i ett pressmeddelande, och inleder nu en granskning. De har också tagit emot över 1 650 anmälningar om saken från olika idrottsföreningar.

”Värt att titta extra på”

”Mot denna bakgrund har IMY beslutat att granska om ni har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med den behandling av personuppgifter som skett inom ramen för tjänsterna”, skriver de i sitt tillsynsbeslut.

– Just i det här fallet så anser vi att det kan vara värt att titta lite extra på det. Just med hänsyn till den väldigt stora omfattningen när det kommer till dels antal personer som kan ha påverkats, men även personuppgifterna som sådana och deras karaktär, säger Viktor Johnsson.

Arbetet väntas vara klart under året.