Integritetsskyddsmyndigheten utfärdar en sanktionsavgift för sen anmälan av en personuppgiftsincident. Statens servicecenter har i egenskap av personuppgiftsbiträde informerat om och anmält en upptäckt personuppgiftsincident till Integritetsskyddsmyndigheten och den personuppgiftsansvarige för sent.
Enligt artikel 33 i GDPR ska anmälan om personuppgiftsincidenter ske utan onödigt dröjsmål till den personuppgiftsansvarige (artikel 33.2 i GDPR) och om möjligt inom 72 timmar till Integritetsskyddsmyndigheten (artikel 33.1 i GDPR).
Statens servicecenter upptäckte en personuppgiftsincident, men anmälde den först efter 5 månader. Detta innebär ett brott mot artikel 33 i GDPR.
Böter för sen anmälan av personuppgiftsincident enligt GDPR
Integritetsskyddsmyndigheten beslutar att Statens servicecenter ska betala böter för sen anmälan av personuppgiftsincident enligt GDPR. Statens servicecenter hade kännedom om incidenten, men meddelade inte personuppgiftsincidenten i tid till den personuppgiftsansvarige eller tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten).
Sanktionsavgiften blev 150 000 SEK med anledning av överträdelsen mot artikel 33.2 i GDPR.
Integritetsskyddsmyndigheten beslutade även att Statens servicecenter även ska betala 50 000 SEK i sanktionsavgift för överträdelse av artikel 33.1.
Totalt ska Statens servicecenter betala 200 000 SEK i sanktionsavgift för överträdelserna mot bestämmelserna i GDPR. Det är till staten som denna böter ska bli inbetald.
Avsaknad av interna rutiner för personuppgiftsincidenter
Integritetsskyddsmyndigheten konstaterade även att Statens servicecenter inte hade fört intern dokumentation kring incidenten och de vidtagna åtgärderna i enlighet med artikel 33.5 i GDPR.
Övriga förlägganden
Utöver detta beslutade Integritetsskyddsmyndigheten om ett föreläggande mot Statens servicecenter, som innebär bland annat att Statens servicecenter ska genomföra följande:
- Upprätta interna rutiner för dokumentation av personuppgiftsincidenter (i syfte att kunna styrka efterlevnad av artikel 33 i GDPR).
- Följa rutinerna och löpande kontrollera att så sker.
Integritetsskyddsmyndigheten fann även att Statens servicecenter saknade ett skriftligt personuppgiftsbiträdesavtal vid inspektionstillfället, i enlighet med kraven i artikel 28 i GDPR. Men Integritetsskyddsmyndigheten beslutade ingen vidare åtgärd kring detta efter att Statens servicecenter åtgärdade detta.