Tele2s sanktionsavgift från PTS – lärdomar för operatörer

1 minuts läsning • Simon • DATASKYDDSFöRORDNINGEN • 3 december 2025
  1. Bakgrund: när skyddade uppgifter röjs
  2. Rättsliga utgångspunkter – PTS roll och säkerhetskraven
  3. Praktiska risker och typiska fallgropar
  4. Så kan operatörer och andra aktörer agera

Post- och telestyrelsen (PTS) har beslutat att Tele2 ska betala 8,1 miljoner kronor i sanktionsavgifter efter att operatören röjt uppgifter om abonnenter med skyddad folkbokföring till abonnentupplysningsföretag. Beslutet illustrerar hur allvarligt regelverket ser på brister i skyddet av abonnentuppgifter – särskilt när det rör personer med skyddade personuppgifter.

För teleoperatörer, andra leverantörer inom elektronisk kommunikation och större organisationer med känsliga kunddata är beslutet en tydlig påminnelse om vikten av strukturerad riskhantering, korrekt teknisk implementation och tydlig information till berörda.

Bakgrund: när skyddade uppgifter röjs

Under början av 2025 rapporterade Tele2 integritetsincidenter till PTS. Av rapporterna framgick att för- och efternamn, telefonnummer och adresser till abonnenter med skyddad folkbokföring hade lämnats ut till företag som bedriver abonnentupplysning.

Skyddad folkbokföring, sekretessmarkering och andra former av skyddade personuppgifter är centrala skyddsåtgärder för personer som kan vara utsatta för hot, våld eller andra särskilda risker. När sådana uppgifter röjs till obehöriga kan konsekvenserna bli direkt personfarliga.

I tillsynen konstaterade PTS att Tele2 brustit i sin riskhantering och i skyddet av abonnentuppgifter, samt att bolaget inte lämnat tillräcklig information till de drabbade abonnenterna om det inträffade.

Rättsliga utgångspunkter – PTS roll och säkerhetskraven

PTS utövar tillsyn över lagstiftningen om elektronisk kommunikation. Operatörer och vissa andra aktörer är skyldiga att upprätthålla en hög säkerhetsnivå kring de uppgifter som behandlas inom verksamheten, inklusive uppgifter om abonnenter.

Regelverket innebär i korthet att leverantörer ska:

  • bedöma risker för integritetsincidenter och andra säkerhetsbrister,
  • införa lämpliga tekniska och organisatoriska säkerhetsåtgärder,
  • ha strukturerade rutiner för incidenthantering och rapportering,
  • informera berörda abonnenter när en incident inträffar som påverkar deras integritet.

Parallellt gäller dataskyddsregelverket (bland annat GDPR), som ställer krav på behandling av personuppgifter. När det rör sig om skyddade personuppgifter är kravet på riskmedvetenhet och proportionalitet särskilt högt, även om exakta bedömningar måste göras från fall till fall.

Praktiska risker och typiska fallgropar

Tele2-fallet illustrerar några återkommande fallgropar som aktörer inom elektronisk kommunikation och andra dataintensiva verksamheter kan känna igen:

  • Bristande klassning av uppgifter – skyddade personuppgifter hanteras i samma flöden som mindre känsliga uppgifter.
  • Otillräcklig riskanalys – riskanalyser blir en engångsövning eller för generella, och fångar inte specifika scenarier som utlämnande till abonnentupplysningsföretag eller andra tredje parter.
  • Tekniska brister i systemkopplingar – integrationer mot externa aktörer (exempelvis katalog- och upplysningstjänster) uppdateras utan att säkerhetskonsekvenserna fullt ut analyseras och testas.
  • Otydliga instruktioner till leverantörer – personuppgiftsbiträden eller andra leverantörer får oklara instruktioner om hur skyddade uppgifter ska hanteras.
  • Svaga rutiner för incidenthantering – det saknas färdiga mallar och processer för att snabbt och träffsäkert informera drabbade abonnenter.

För bolag i sektorn är det därför viktigt att inte se säkerhetsföreskrifter och sanktionsavgifter enbart som myndighetskrav, utan som en del av den grundläggande riskhanteringen och governance-strukturen.

Så kan operatörer och andra aktörer agera

Även om varje verksamhet behöver sin egen anpassade lösning finns det flera generella åtgärder som minskar risken för en sanktionsavgift från PTS.

1. Gör en riktad riskanalys för skyddade uppgifter

  • Identifiera vilka kategorier av särskilt skyddsvärda uppgifter ni behandlar (exempelvis skyddad folkbokföring, sekretessmarkerade kunder).
  • Kartlägg alla system, integrationer och leverantörer där dessa uppgifter förekommer.
  • Genomför scenariobaserade riskanalyser – vad händer om en uppgift läcker via just den här integrationen eller processen?

2. Stärk de tekniska och organisatoriska åtgärderna

  • Inför separata kontroller och eventuellt särskilda processer för skyddade uppgifter.
  • Säkerställ att roller och behörigheter är strikt begränsade och regelbundet omprövas.
  • Testa systemförändringar och integrationer utifrån ett integritetsperspektiv, inte bara teknisk funktion.

3. Se över avtal och instruktioner till externa parter

  • Gå igenom avtal med abonnentupplysningsföretag och andra mottagare av abonnentdata.
  • Förtydliga i avtalen hur skyddade uppgifter ska hanteras och vilka uppgifter som aldrig får lämnas ut.
  • Säkerställ att instruktionerna också följs upp i praktiken genom kontroller och dialog.

4. Förbered strukturerad incidenthantering och information

  • Upprätta rutiner för hur integritetsincidenter ska identifieras, rapporteras internt och bedömas.
  • Ta fram mallar för information till drabbade abonnenter som går att anpassa efter situationen.
  • Öva incidenthanteringen så att organisationen vet vad som ska göras när en incident väl inträffar.

5. Integrera dataskydd och säkerhet i governance

  • Se till att styrelse och ledning får regelbunden rapportering om integritets- och säkerhetsrisker.
  • Koppla efterlevnaden av PTS föreskrifter och dataskyddsregleringen till det övergripande risk- och compliancearbetet.
  • Ge relevanta funktioner (exempelvis säkerhetsorganisation och dataskyddsansvariga) tillräckliga mandat och resurser.

Tele2-beslutet visar att brister i riskhantering och information i sig kan motivera sanktionsavgifter, även om incidenten i första hand handlar om tekniska eller processuella misstag. För operatörer och andra aktörer är det därför avgörande att se frågan som en del av kärnverksamhetens riskhantering, inte enbart som ett IT- eller complianceproblem.

På Morling Consulting hjälper våra dataskyddsjurister och experter på regleringen av elektronisk kommunikation företag och organisationer att analysera risker, anpassa processer och ta fram styrdokument som minskar risken för integritetsincidenter och sanktionsavgifter.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer