La DPA suédoise a infligé une amende de 28 500 euros au conseil régional d'Uppsala. L'amende est le résultat d'une enquête de la région d'Uppsala (la régie régionale et la régie hospitalière). La DPA avait reçu deux rapports d'incidents impliquant des données personnelles de la région d'Uppsala. Les incidents concernaient des données de santé personnelles sensibles qui avaient été transférées en clair à des destinataires à l'intérieur et à l'extérieur de la Suède. Le conseil régional avait transmis des données personnelles sensibles et des numéros d'identité personnels par courrier électronique. La transmission réelle des e-mails était cryptée, mais les informations contenues dans les e-mails ne l'étaient pas. Les courriels en question contenaient des données sur les patients qui étaient automatiquement envoyées aux administrateurs de santé appropriés de la région, ainsi que des données sur les patients qui étaient envoyées manuellement aux chercheurs et aux médecins de la région. Pour cette raison, la DPA a constaté que le conseil régional n'avait pas pris les mesures techniques et organisationnelles adéquates pour protéger les données contre un accès non autorisé, par exemple.