Öppettider: Mån - Sön, kl. 09:00 - 20:00

Sanktionsavgift för sen anmälan av en personuppgiftsincident

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift för sen anmälan av en personuppgiftsincident. Statens servicecenter har i egenskap av personuppgiftsbiträde informerat om och anmält en upptäckt personuppgiftsincident till Integritetsskyddsmyndigheten och den personuppgiftsansvarige för sent.

Enligt artikel 33 i GDPR ska anmälan om personuppgiftsincidenter ske utan onödigt dröjsmål till den personuppgiftsansvarige (artikel 33.2 i GDPR) och om möjligt inom 72 timmar till Integritetsskyddsmyndigheten (artikel 33.1 i GDPR).

Statens servicecenter upptäckte en personuppgiftsincident, men anmälde den först efter 5 månader. Detta innebär ett brott mot artikel 33 i GDPR.

Böter för sen anmälan av personuppgiftsincident enligt GDPR

Integritetsskyddsmyndigheten beslutar att Statens servicecenter ska betala böter för sen anmälan av personuppgiftsincident enligt GDPR. Statens servicecenter hade kännedom om incidenten, men meddelade inte personuppgiftsincidenten i tid till den personuppgiftsansvarige eller tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten).

Sanktionsavgiften blev 150 000 SEK med anledning av överträdelsen mot artikel 33.2 i GDPR.

Integritetsskyddsmyndigheten beslutade även att Statens servicecenter även ska betala 50 000 SEK i sanktionsavgift för överträdelse av artikel 33.1.

Totalt ska Statens servicecenter betala 200 000 SEK i sanktionsavgift för överträdelserna mot bestämmelserna i GDPR. Det är till staten som denna böter ska bli inbetald.

Avsaknad av interna rutiner för personuppgiftsincidenter

Integritetsskyddsmyndigheten konstaterade även att Statens servicecenter inte hade fört intern dokumentation kring incidenten och de vidtagna åtgärderna i enlighet med artikel 33.5 i GDPR.

Övriga förlägganden

Utöver detta beslutade Integritetsskyddsmyndigheten om ett föreläggande mot Statens servicecenter, som innebär bland annat att Statens servicecenter ska genomföra följande:

Upprätta interna rutiner för dokumentation av personuppgiftsincidenter (i syfte att kunna styrka efterlevnad av artikel 33 i GDPR).
Följa rutinerna och löpande kontrollera att så sker.

Integritetsskyddsmyndigheten fann även att Statens servicecenter saknade ett skriftligt personuppgiftsbiträdesavtal vid inspektionstillfället, i enlighet med kraven i artikel 28 i GDPR. Men Integritetsskyddsmyndigheten beslutade ingen vidare åtgärd kring detta efter att Statens servicecenter åtgärdade detta.

Klicka här för att läsa hela beslutet

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

Böter för sen anmälan av personuppgiftsincident enligt GDPR

Avsaknad av interna rutiner för personuppgiftsincidenter

Övriga förlägganden

Du kanske också gillar

Vägledning om hur arbetsgivare får behandla personuppgifter

Sanktionsavgift för bristfälliga rutiner och tekniska spärrar

Tillsyn av polisens belastningsregister

Antalet anmälda personuppgiftsincidenter under 2021 i Sverige

Vanligaste klagomålet till IMY var personsökstjänster

Närvaroregistrering genom ansiktsigenkänning i strid med GDPR