Datainspektionen utfärdar sanktionsavgift för brott mot GDPR

Datainspektionen har utfärdat en sanktionsavgift på sammanlagt 200 000 kr mot Statens servicecenter för att ha dröjt med att anmäla en personuppgiftsincident.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som exempelvis inträffat när personuppgifter om en eller flera registrerade personer har förstörts, förlorats eller kommit i orätta händer. Det kan t ex vara fallet om ett företag råkar ut för ett dataintrång eller om en anställd på företaget skickar personuppgifter till fel mottagare. Det spelar ingen roll om incidenten har skett avsiktligt eller oavsiktligt för att den ska klassificeras som en personuppgiftsincident.

Behöver man anmäla alla personuppgiftsincidenter?

Nej, om det är osannolikt att personuppgiftsincidenten skulle medföra en risk för de registrerades fri- och rättigheter behöver ni inte anmäla incidenten. Det är inte alltid lätt att veta om det finns någon risk för de registrerade och i så fall hur stor den risken när man tar beslut om incidenten ska anmälas eller inte. Det viktigaste i sammanhanget är att ni dokumenterar de avvägningar som ligger till grund för ert beslut så att ni enkelt kan redovisa era resonemang vid ett ev. tillsynsärende eller intern revision. Tänk på att de registrerades rättigheter ska vara i fokus när ni tar beslutet.

När behöver vi informera registrerade om att en incident har inträffat?

Om personuppgiftsincidenten innebär en hög risk för registrerades fri- och rättigheter har ni en skyldighet att informera de berörda individerna direkt, t ex när det finns en överhängande risk för ID-stölder eller om kortuppgifter har läckt ut. När ni informerar de registrerade kan skicka direkt information till respektive registrerad, t ex via e-post. Om det rör ett stort antal individer kan det också finnas möjlighet att gå ut med allmän information om incidenten, t ex på er hemsida och i andra mediala kanaler. Vilken typ av kommunikation som är lämplig beror på hur allvarlig incidenten är.

Datainspektionens granskning

Datainspektionen inledde en granskning mot servicecentret efter att ha tagit emot flera anmälningar om en personuppgiftsincident som rörde en felaktighet i myndighetens lönehanteringssystem. Felaktigheten innebar att obehöriga kunde komma åt både personuppgifter som rörde servicecentrets egen personal och personuppgifter från myndigheter som anlitar servicecentret för lönehantering.

Om en personuppgiftsincident inträffar ska den personuppgiftsansvarige anmäla incidenten till Datainspektionen inom 72 timmar efter att ha fått vetskap om den. Om ett personuppgiftsbiträde får vetskap om en incident ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige ”utan onödigt dröjsmål”. Den personuppgiftsansvarige ska sedan i sin tur anmäla personuppgiftsincidenten till Datainspektionen.

Datainspektionens granskning visade att servicecentret dröjt närmare fem månader med att underrätta de berörda myndigheterna om personuppgiftsincidenten och närmare tre månader med att för egen del rapportera personuppgiftsincidenten till Datainspektionen. Datainspektionen har därför utfärdat en sanktionsavgift på 200 000 kr mot servicecentret, samt ett föreläggande att ta fram rutiner för dokumentation av personuppgiftsincidenter och se till att rutinerna efterlevs.

Läs Datainspektionens beslut här.

Vad ska ni som företag tänka på när det gäller personuppgiftsincident?

  • Se till att alla inom er organisation vet vad en personuppgift är och hur man ska agera när en personuppgiftsincident inträffar.
  • Ha interna rutiner som gör det enkelt att upptäcka och hantera personuppgiftsincidenter inom de tidsgränserna som anges i GDPR.
  • Ha interna rutiner för att dokumentera alla personuppgiftsincidenter, även de som inte måste anmälas till Datainspektionen. Vid en eventuell granskning kan ni då visa vilka bedömningar som låg till grund för beslutet att inte anmäla incidenten. Se till att rutinerna innehåller en tydlig rollfördelning för personuppgiftsincidenter så att ni kan säkerställa en effektiv hantering av incidenten, t ex vem är ansvarig för att sammankalla övriga i teamet, vem har ansvar för att dokumentera och ev. anmäla incidenten till Datainspektionen och i vilka fall ska ni ta in experthjälp.

Saknar ni rutiner för att hantera personuppgiftsincidenter? Kontakta oss gärna så hjälper vi er att ta fram dem.

 

En del av Svensk Handel

Svensk Handel arbetar för att stärka handelns konkurrenskraft. Svensk Handel är en arbetsgivarorganisation som driver handelns frågor för parti-, detalj- och e-handeln. Svensk Handel Juridik är ett helägt dotterbolag till Svensk Handel och har i mer än 40 år bistått medlemmar med juridisk rådgivning. Som medlem i Svensk Handel får ni rabatterade priser på vår rådgivning.

Svensk Digital Handel

Svensk Digital Handel AB utvecklar tjänster och driver frågor som bidrar till en tryggare, smartare och mer lönsam digital handel i Sverige. Svensk Digital Handel verkar för att stärka den svenska e-handelns konkurrenskraft. Medlemmar i Svensk Digital Handel får rabatterade priser på vår rådgivning.

Trygg E-handel

Trygg E-handel är en certifiering för nätbutiker som visar konsumenten att du som e-handlare är en seriös aktör som står för tydliga, enkla och enhetliga villkor och att köpet sker tryggt och säkert. Du kan ansöka om certifieringen på Svensk Digital Handels hemsida.