2018 och 2020 anmälde polisen två personuppgiftsincidenter till IMY gällande e-post som hade skickats till fel person.
Vissa av mejlen innehöll integritetskänsliga personuppgifter, däribland uppgifter om misstänkta och brottsoffer, och enligt polisen är bakgrunden till de felaktiga utskicken huvudsakligen att anställda vid myndigheten råkat stava fel på ”@polisen.se” när mottagaradressen har angetts.
Enligt polisen har någon utomstående registrerat domäner med stavning liknande polisen.se och på så vis fått del av mejl som egentligen var avsedda för polisanställda.
IMY konstaterar nu att myndigheten brutit mot brottsdatalagen.
"Polisen hade vid tiden för det inträffade inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlades så att obehöriga inte kunde komma åt dem", säger Jonas Agnvall, jurist på IMY, enligt ett pressmeddelande.
Polisen har infört nya åtgärder för att minska risken att misstagen kan ske igen, men enligt IMY är åtgärderna otillräckliga och polisen rekommenderas att vidta fler åtgärder för att höja skyddsnivån.