En personuppgiftsincident är en säkerhetsincident
En personuppgiftsincident är en säkerhetsincident som kan ske både avsiktligt eller oavsiktligt. Det innebär att personuppgifter blivit ändrade, gått förlorade eller har kommit någon obehörig tillhanda. I vissa fall måste företag anmäla incidenten.
Rapportera personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som inträffar och berör personuppgifter. Ett företag ska i vissa fall rapportera en sådan incident till den nationella tillsynsmyndigheten inom 72 timmar från och med upptäckten. Det är möjligt att komplettera anmälan i efterhand om något saknas. Detta framgår av artikel 33.1 GDPR (dataskyddsförordningen). På Integritetskyddsmyndighetens webbplats finns en sida för att göra anmälan av inträffad incident. Där ska den personuppgiftsansvarige besvara några frågor och/eller påståenden, och därefter presenteras ett svar med information om incidenten ifråga ska bli anmäld till myndigheten eller inte.
I Sverige är det Integritetskyddsmyndigheten som är tillsynsmyndighet. Dessutom kan företaget i vissa fall behöva informera de registrerade som blivit påverkade gav incidenten.
Statens servicecenter i Sverige fick sanktionsavgift för försenad anmälan av personuppgiftsincident
Statens servicecenter i Sverige fick betala en sanktionsavgift på grund av att de anmält en personuppgiftsincident försent. Med andra ord inte inom 72 timmar från och med upptäckten. Dessutom saknande de dokumentation om de väsentliga omständigheter kring incidenten. Totalt fick de betala 200 000 kr.
En personuppgiftsincident är en säkerhetsincident som ska bli dokumenterad
Oavsett om en inträffad incident behöver bli anmäld till tillsynsmyndigheten eller inte, ska samtliga inträffade incidenter bli dokumenterade internt hos den personuppgiftsansvarige. Detta krav innebär att alla företag måste upprätta nödvändig dokumentation för att kunna uppfylla detta krav avseende loggföring och uppföljning av inträffade incidenter som berör personuppgifter. Företag bör dels upprätta en loggbok för att notera incidenten samt en intern rutin för hur medarbetare ska hantera en inträffad incident.
Skillnaden mellan obehörigt röjande och obehörig åtkomst
Det är skillnad mellan obehörigt röjande och obehörig åtkomst. Obehörig åtkomst innebär att någon som saknar behörighet till att få ta del av personuppgifter, får det. Till exempel när det sker ett dataintrång. Det behöver inte heller vara avsiktligt, utan kan ske oavsiktligt och kan ske internt inom verksamheten eller externt. Företag behöver se till att enbart personer med behörighet har tillgång till personuppgifterna som företaget behandlar. En medarbetare kan ha teknisk behörighet i ett system, men det behöver inte innebära att personen har befogenhet att behandla personuppgifter som förekommer däri.
Kort sagt innebär obehörigt röjande att någon röjer personuppgifter. När en medarbetare i ett företag sprider eller publicerar personuppgifter felaktigt, är det fråga om ett obehörigt röjande. Observera att ingen faktiskt behöver ta del av personuppgifterna, utan det räcker med att personuppgifterna blir röjda.
Om personuppgifter blir obehörigt röjda eller om någon obehörig har fått åtkomst till dem, är det en personuppgiftsincident som innebär en säkerhetsincident.
Exempel på personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som kan uppstå exempelvis i följande fall:
– När en anställd tappar sin arbetstelefon som innehåller till exempel kontaktuppgifter till kunder och/eller leverantörer.
– Om personuppgifter går förlorade från datorn på grund av ett strömavbrott.
– När anställda skickar mejl till fel mottagare där det framgår personuppgifter.
Felskickade mejl är en av de vanligaste incidenterna
En av de vanligaste personuppgiftsincidenterna är felskickade mejl. För att förebygga detta, bör företag instruera sina medarbetare till att alltid dubbelkolla mottagarens e-postadress innan de skickar ett mejl. Företaget kan upprätta interna rutiner och policys i skrift, för att säkerställa att informationen når ut till samtliga medarbetare. Dessutom kan underlaget styrka att företaget i praktiken tillser att GDPR följs.
Konsekvenser av personuppgiftsincidenter för registrerade
Beroende på vilken typ av personuppgifter det gäller, kan konsekvenserna av en inträffad personuppgiftsincident variera. Till exempel kan det leda till en ekonomisk skada, diskriminering eller skadlig ryktesspridning som drabbar den registrerade personen som är omfattad av incidenten.
Företag fick över 200 miljoner pund i böter när hackare kom åt kreditkortsuppgifter
Ett företag i England fick över 180 miljoner pund i böter för att de inte hade tillräckligt hög säkerhet och hackare kom åt kreditkortsuppgifter. Det är ett exempel på en personuppgiftsincident, som även utgör ett inträffat brott och därför ska bli anmält till Polisen också. Incidenten skedde innan Storbritannien gick ur EU.
Företag som inte hanterar personuppgiftsincidenter korrekt
När företag inte hanterar personuppgiftsincidenter korrekt, kan till leda till att den nationella dataskyddsmyndigheten utför en tillsyn. Konsekvensen kan bli sanktionsavgift och beloppet beror bland annat på vilken typ av incident och hur stort företaget är.
Anmäla personuppgiftsincidenter till dataskyddsmyndighet
I vissa fall måste ett företag anmäla personuppgiftsincidenten till den nationella dataskyddsmyndigheten. Det är vid fall där det är sannolikt att det leder till en risk för de registrerades fri- och rättigheter. Företaget måste därför göra en analys och bedömning om det har medfört det eller inte. Om det har, ska det anmälas till dataskyddsmyndigheten. Dessutom kan det vid vissa fall vara ett brott och då ska det bli anmält till Polisen också, såsom vid dataintrång.
Anmälan till tillsynsmyndigheten ska ske inom 72 timmar från och med upptäckten av incidenten. Observera att det går att komplettera anmälan i efterhand om anmälan saknar information, men det är viktigt att skicka in anmälan inom 72 timmar.
Arbeta förebyggande
Företag ska arbeta förebyggande för att försöka förhindra att personuppgiftsincidenter inträffar. Dessutom ska företag ha de tekniska och organisatoriska säkerhetsåtgärderna som är nödvändiga.
Om det inträffar en incident, ska företaget ha rutiner för att kunna hantera det så bra som möjligt på ett effektivt sätt. Företaget bör även ha en backup om personuppgifterna lagras digitalt och svåra lösenord m.m.
Företag bör till exempel ha:
– Skriftliga rutiner för att medarbetare ska kunna upptäcka incidenter och ge dem rätt utbildning för att kunna förebygga att incidenter rörande personuppgifter inträffar.
– Ha en loggbok där företaget dokumenterar personuppgiftsincidenterna och gallringen av personuppgifterna.
– I de skriftliga rutinerna ska det också framgå hur medarbetarna ska agera om en personuppgiftsincident väl inträffar.
Personuppgiftsbiträdens ansvar vid personuppgiftsincidenter
Personuppgiftsbiträden har ett eget ansvar, även fast det är den personuppgiftsansvarige som har det huvudsakliga ansvaret. Det är den personuppgiftsansvarige som ska meddela dataskyddsmyndigheten och de registrerade om en inträffad incident som berör deras personuppgifter. Men personuppgiftsbiträden måste anmäla personuppgiftsincidenter till den personuppgiftsansvarige, i den mån incidenten berör personuppgifter som biträdet behandlar för den ansvariges räkning. Det ska ske utan onödigt dröjsmål från och med upptäckten av incidenten.
Avtalet mellan personuppgiftsbiträdet och den personuppgiftsansvarige
Ett personuppgiftsbiträdesavtal måste vara skriftligt enligt formkrav i GDPR. Det är ett avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, som reglerar hur biträdet får behandla personuppgifterna som den ansvarige överför till biträdet. Biträdet åtar sig genom avtalet att enbart behandla personuppgifterna i enlighet med den ansvariges instruktioner och för dennes räkning. Dessutom är det viktigt att det framgår tydligt hur parterna ska agera vid en eventuell personuppgiftsincident.
Överföring av personuppgifter till ett tredjeland
När personuppgifter blir överförda till ett land utanför EU/EES-området, är det en överföring till tredjeland. Det är viktigt att känna till reglerna vid sådana överföringarna eftersom kraven är högre. Exempel på när ett företag överför personuppgifter till ett tredjeland kan vara om företaget använder en molntjänst som finns utanför EU/EES-området, för att lagra personuppgifter.
EU-kommissionen kan besluta att ett land säkerställer en adekvat skyddsnivå och vid sådana fall är det tillåtet att överföra personuppgifter dit, som om det var ett land inom unionen. Om landet inte säkerställer en adekvat skyddsnivå enligt EU Kommissionen, behöver företaget vidta lämpliga skyddsåtgärder. Dessutom ska företaget alltid följa bestämmelserna i GDPR avseende överföringar till ett tredjeland.