Personuppgifter på vift – Vad är ditt ansvar?

Med jäm­na mel­lan­rum upp­da­gas hän­del­ser där före­tag för­lo­rat kon­troll över sin kundin­for­ma­tion. Till exem­pel upp­da­ga­des 2018 att Bri­tish Air­ways bli­vit utsatt för skad­lig kod som led­de till att per­son­upp­gif­ter från 380 000 kun­der läck­te ut. Sena­re sam­ma år upp­täck­tes att hotell­ked­jan Mar­ri­ott expo­ne­rat kund­upp­gif­ter om ca 339 mil­jo­ner gäster.

De båda exemp­len visar att missö­den av det­ta slag inte helt säl­lan inträffar.

Vad är en personuppgiftsincident?

Till att bör­ja med så är en per­son­upp­gift all slags infor­ma­tion som kan kny­tas till en levan­de per­son. Det kan röra sig om exem­pel­vis namn, adress, foto och per­son­num­mer. En per­son­upp­gifts­in­ci­dent kan inträf­fa om per­son­upp­gif­ter om regi­stre­ra­de per­so­ner bli­vit för­stör­da, gått för­lo­ra­de eller på annat sätt ham­nat i orät­ta händer.

Olika rapporteringsskyldigheter gäller

Bero­en­de på vil­ket regel­verk som gäl­ler för din orga­ni­sa­tion ska per­son­upp­gifts­in­ci­den­ter rap­por­te­ras till oli­ka till­syns­an­sva­ri­ga. För före­tag som arbe­tar med mark­nads­fö­ring tor­de rap­por­te­rings­skyl­dig­he­ten enligt Data­skydds­för­ord­ning­en vara det vanligaste.

För en del orga­ni­sa­tio­ner kan rap­por­te­rings­skyl­dig­het även föl­ja av brotts­da­ta­la­gen eller enligt lagen om elektro­nisk kom­mu­ni­ka­tion. Fort­sätt­nings­vis foku­se­rar vi emel­ler­tid på kra­ven enligt GDPR.

Rapportering till Datainspektionen

Om det har inträf­fat en per­son­upp­gifts­in­ci­dent ska det­ta anmä­las skynd­samt till Data­in­spek­tio­nen inom 72 tim­mar. Det finns dock ett undan­tag från kra­vet att rap­por­te­ra om det bedö­mas osan­no­likt att inci­den­ten med­för en risk för fysis­ka per­so­ners rät­tig­he­ter och friheter.

Om en anmä­lan ska ske, och den­na inte görs inom 72 tim­mar, så mås­te för­se­ning­en moti­ve­ras för till­syns­myn­dig­he­ten. Det bör även näm­nas att det idag är van­ligt att per­son­upp­gifts­bi­trä­den, t.ex. ett tele­mar­ke­ting­fö­re­tag anli­tat av den per­son­upp­gifts­an­sva­ri­ge, han­te­rar per­son­upp­gif­ter och i såda­na fall ska den­ne skynd­samt under­rät­ta den per­son­upp­gifts­an­sva­ri­ge om en inci­dent inträffat.

Så gör du en incidentanmälan

En inci­den­tan­mä­lan ska inne­hål­la viss infor­ma­tion så som per­son­upp­gifts­in­ci­den­tens art, det unge­fär­li­ga anta­let regi­stre­ra­de som berörs, en beskriv­ning av de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten, och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git eller före­sla­git för att åtgär­da eller mild­ra personuppgiftsincidenten.

Här är det även av vikt att påpe­ka att det är vik­tigt att den per­son­upp­gifts­an­sva­ri­ge för en struk­tu­re­rad doku­men­ta­tion över omstän­dig­he­ter­na kring per­son­upp­gifts­in­ci­den­ten, och vil­ka åtgär­der och beslut som har vidtagits.

Själ­va anmä­lan av en per­son­upp­gifts­in­ci­dent sker genom en blan­kett som skic­kas till Data­in­spek­tio­nen. Det kan även vara värt att näm­na att blan­ket­ten och dess inne­håll blir en all­män hand­ling. Ett utläm­nan­de prö­vas dock först av till­syns­myn­dig­he­ten och kan begrän­sas av sekretess.

Rapportering till de drabbade registrerade

I vis­sa situ­a­tio­ner mås­te även de drab­ba­de regi­stre­ra­de per­so­ner­na infor­me­ras av den per­son­upp­gifts­an­sva­ri­ge om att inci­den­ten har inträf­fat. Om det bedöms att inci­den­ten san­no­likt lett till en hög risk för fysis­ka per­so­ners rät­tig­he­ter och fri­he­ter ska den per­son­upp­gifts­an­sva­ri­ge skynd­samt infor­me­ra den regi­stre­ra­de om personuppgiftsincidenten.

De drab­ba­de ska då erhål­la infor­ma­tion om per­son­upp­gifts­in­ci­den­tens art och kon­takt­upp­gif­ter där mer infor­ma­tion kan erhål­las, t.ex. till data­skydds­om­bu­det om det finns en sådan utsedd vid före­ta­get. Dess­utom ska de drab­ba­de infor­me­ras om de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git för att mild­ra even­tu­el­la nega­ti­va effekter.

Undantag finns

Det finns dock undan­tag från att infor­me­ra de drab­ba­de. Det skul­le kun­na vara fal­let om den per­son­upp­gifts­an­sva­ri­ge exem­pel­vis har vid­ta­git tek­nis­ka skydds­åt­gär­der, så som kryp­te­ring, vil­ka gjort upp­gif­ter­na oläs­ba­ra för utom­stå­en­de. Det finns även ett undan­tag från att direkt infor­me­ra de drab­ba­de om det skul­le inbe­gri­pa en opro­por­tio­nell ansträng­ning. I såda­na fall kan en rik­tad infor­ma­tion till all­män­he­ten vara godtagbar.
Till­syns­myn­dig­he­ter­na har dock rätt att omprö­va den per­son­upp­gifts­an­sva­ri­ges beslut att inte infor­me­ra de drab­ba­de och åläg­ga den­ne att göra detta.

Avslutande kommentarer

Eftersom nät­brotts­lig­he­ten stän­digt utveck­las och tek­ni­ken, trots alla ansträng­ning­ar att täp­pa till luc­kor i dess funk­tio­na­li­tet, ibland bris­ter så är det garan­te­rat inte sista gång­en som per­son­upp­gif­ter kom­mer på vift på lik­nan­de sätt som nämnts ovan.

Där­för bör det lig­ga i var­je seri­ös aktörs intres­se att för­be­re­da sig för om det värs­ta skul­le hän­da. Främst för att mini­me­ra even­tu­el­la kon­se­kven­ser­na för de drab­ba­de och und­vi­ka att ska­da före­ta­gets för­tro­en­de, men även i syf­te att und­vi­ka ris­ken att till­dö­mas sank­tions­av­gif­ter av Datainspektionen.

Det inne­bär att det är lämp­ligt att man som före­ta­ga­re i sam­band med en genom­gång av sitt arbe­te med behand­ling av per­son­upp­gif­ter age­rar pro­ak­tivt och upp­rät­tar ruti­ner för att upp­täc­ka per­son­upp­gifts­in­ci­den­ter – samt har en plan för hur per­son­upp­gifts­in­ci­den­ter ska han­te­ras. På så vis ökar för­må­gan att age­ra i rätt tid och på rätt sätt om olyc­kan skul­le vara framme.