Sanktionsavgift för sen anmälan av en personuppgiftsincident

Böter sen anmälan personuppgiftsincident
  • Start
  • Nyheter
  • Sanktionsavgift för sen anmälan av en personuppgiftsincident

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift för sen anmälan av en personuppgiftsincident. Statens servicecenter har i egenskap av personuppgiftsbiträde informerat om och anmält en upptäckt personuppgiftsincident till Integritetsskyddsmyndigheten och den personuppgiftsansvarige för sent.

Enligt artikel 33 i GDPR ska anmälan om personuppgiftsincidenter ske utan onödigt dröjsmål till den personuppgiftsansvarige (artikel 33.2 i GDPR) och om möjligt inom 72 timmar till Integritetsskyddsmyndigheten (artikel 33.1 i GDPR). 

Statens servicecenter upptäckte en personuppgiftsincident, men anmälde den först efter 5 månader. Detta innebär ett brott mot artikel 33 i GDPR. 

Böter för sen anmälan av personuppgiftsincident enligt GDPR

Integritetsskyddsmyndigheten beslutar att Statens servicecenter ska betala böter för sen anmälan av personuppgiftsincident enligt GDPR. Statens servicecenter hade kännedom om incidenten, men meddelade inte personuppgiftsincidenten i tid till den personuppgiftsansvarige eller tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten).

Sanktionsavgiften blev 150 000 SEK med anledning av överträdelsen mot artikel 33.2 i GDPR. 

Integritetsskyddsmyndigheten beslutade även att Statens servicecenter även ska betala 50 000 SEK i sanktionsavgift för överträdelse av artikel 33.1. 

Totalt ska Statens servicecenter betala 200 000 SEK i sanktionsavgift för överträdelserna mot bestämmelserna i GDPR. Det är till staten som denna böter ska bli inbetald.

Avsaknad av interna rutiner för personuppgiftsincidenter

Integritetsskyddsmyndigheten konstaterade även att Statens servicecenter inte hade fört intern dokumentation kring incidenten och de vidtagna åtgärderna i enlighet med artikel 33.5 i GDPR.

Övriga förlägganden

Utöver detta beslutade Integritetsskyddsmyndigheten om ett föreläggande mot Statens servicecenter, som innebär bland annat att Statens servicecenter ska genomföra följande: 

  • Upprätta interna rutiner för dokumentation av personuppgiftsincidenter (i syfte att kunna styrka efterlevnad av artikel 33 i GDPR).
  • Följa rutinerna och löpande kontrollera att så sker. 

Integritetsskyddsmyndigheten fann även att Statens servicecenter saknade ett skriftligt personuppgiftsbiträdesavtal vid inspektionstillfället, i enlighet med kraven i artikel 28 i GDPR. Men Integritetsskyddsmyndigheten beslutade ingen vidare åtgärd kring detta efter att Statens servicecenter åtgärdade detta.

Välkommen!

Här kan du lära dig mer om vanliga juridiska begrepp och få svar på frågor inom både affärsjuridik och avtalsrätt. Vi skriver även olika smarta guider, olika tips samt information om viktiga nyheter.

Kategorier

Sök på sidan

Rulla till toppen
Call Now Button