瑞典隐私保护局（IMY）宣布，针对人力资源与职业安全系统供应商Milj?data遭遇黑客攻击导致大量个人信息泄露一事，正式展开GDPR合规审查。此次审查对象包括Milj?data自身，以及哥德堡市政府、阿姆胡特市政府和西曼兰省政府三个使用单位。IMY指出，检方掌握的泄露数据涉及超过150万名自然人，多数文件已在暗网公开。

IMY将调查其安全控制措施是否存在疏漏，以及所处理的数据类型与对象，包括是否涉及受保护身份者、已离职多年的员工和未成年人，并不排除后续根据风险扩大抽查范围。官方表示，此次泄露事件导致瑞典相当比例人口的个人信息在暗网曝光，其中部分属于敏感信息。

事件发生于今年8月底，Milj?data遭受勒索软件入侵，数周后泄露数据陆续出现在暗网。泄露内容包括姓名、电话、住址、出生日期、性别、电子邮件地址以及政府核发的个人身份号码等敏感信息。Have I Been Pwned网站在9月将此事件纳入数据库，显示约87万个独立电子邮件地址受到影响。

该事件最初引起关注，源于沃尔沃集团北美分公司向员工发布安全通知，称其自身系统未被入侵，但因使用第三方服务Milj?data，部分员工数据可能受到波及。沃尔沃因此主动通知受影响员工，并提供身份保护和信用监控服务，以降低后续风险。

瑞典隐私保护局的审查将重点评估Milj?data及三个公共机构在使用系统处理个人信息时的安全措施与数据类别。尽管IMY未对责任归属发表评论，但此次调查也被视为瑞典监管机构对公共部门采用第三方云人力资源系统合规实践的一次重要审视。