Personuppgifter på vift – Vad är ditt ansvar?

Då och då händer det att ett företag förlorar kontrollen över sina kunders personuppgifter. Det är naturligtvis inte bra och får konsekvenser. I denna artikel förklarar advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrands Advokatbyrå vad en personuppgiftsincident är och vad du måste göra när en sådan har inträffat. Läs och lär!

Erik Ullberg
15 oktober 2019

Med jäm­na mel­lan­rum upp­da­gas hän­del­ser där före­tag för­lo­rat kon­troll över sin kundin­for­ma­tion. Till exem­pel upp­da­ga­des 2018 att Bri­tish Air­ways bli­vit utsatt för skad­lig kod som led­de till att per­son­upp­gif­ter från 380 000 kun­der läck­te ut. Sena­re sam­ma år upp­täck­tes att hotell­ked­jan Mar­ri­ott expo­ne­rat kund­upp­gif­ter om ca 339 mil­jo­ner gäster.

De båda exemp­len visar att missö­den av det­ta slag inte helt säl­lan inträffar.

Vad är en personuppgiftsincident?

Till att bör­ja med så är en per­son­upp­gift all slags infor­ma­tion som kan kny­tas till en levan­de per­son. Det kan röra sig om exem­pel­vis namn, adress, foto och per­son­num­mer. En per­son­upp­gifts­in­ci­dent kan inträf­fa om per­son­upp­gif­ter om regi­stre­ra­de per­so­ner bli­vit för­stör­da, gått för­lo­ra­de eller på annat sätt ham­nat i orät­ta händer.

Olika rapporteringsskyldigheter gäller

Bero­en­de på vil­ket regel­verk som gäl­ler för din orga­ni­sa­tion ska per­son­upp­gifts­in­ci­den­ter rap­por­te­ras till oli­ka till­syns­an­sva­ri­ga. För före­tag som arbe­tar med mark­nads­fö­ring tor­de rap­por­te­rings­skyl­dig­he­ten enligt Data­skydds­för­ord­ning­en vara det vanligaste.

För en del orga­ni­sa­tio­ner kan rap­por­te­rings­skyl­dig­het även föl­ja av brotts­da­ta­la­gen eller enligt lagen om elektro­nisk kom­mu­ni­ka­tion. Fort­sätt­nings­vis foku­se­rar vi emel­ler­tid på kra­ven enligt GDPR.

Rapportering till Datainspektionen

Om det har inträf­fat en per­son­upp­gifts­in­ci­dent ska det­ta anmä­las skynd­samt till Data­in­spek­tio­nen inom 72 tim­mar. Det finns dock ett undan­tag från kra­vet att rap­por­te­ra om det bedö­mas osan­no­likt att inci­den­ten med­för en risk för fysis­ka per­so­ners rät­tig­he­ter och friheter.

Om en anmä­lan ska ske, och den­na inte görs inom 72 tim­mar, så mås­te för­se­ning­en moti­ve­ras för till­syns­myn­dig­he­ten. Det bör även näm­nas att det idag är van­ligt att per­son­upp­gifts­bi­trä­den, t.ex. ett tele­mar­ke­ting­fö­re­tag anli­tat av den per­son­upp­gifts­an­sva­ri­ge, han­te­rar per­son­upp­gif­ter och i såda­na fall ska den­ne skynd­samt under­rät­ta den per­son­upp­gifts­an­sva­ri­ge om en inci­dent inträffat.

Så gör du en incidentanmälan

En inci­den­tan­mä­lan ska inne­hål­la viss infor­ma­tion så som per­son­upp­gifts­in­ci­den­tens art, det unge­fär­li­ga anta­let regi­stre­ra­de som berörs, en beskriv­ning av de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten, och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git eller före­sla­git för att åtgär­da eller mild­ra personuppgiftsincidenten.

Här är det även av vikt att påpe­ka att det är vik­tigt att den per­son­upp­gifts­an­sva­ri­ge för en struk­tu­re­rad doku­men­ta­tion över omstän­dig­he­ter­na kring per­son­upp­gifts­in­ci­den­ten, och vil­ka åtgär­der och beslut som har vidtagits.

Själ­va anmä­lan av en per­son­upp­gifts­in­ci­dent sker genom en blan­kett som skic­kas till Data­in­spek­tio­nen. Det kan även vara värt att näm­na att blan­ket­ten och dess inne­håll blir en all­män hand­ling. Ett utläm­nan­de prö­vas dock först av till­syns­myn­dig­he­ten och kan begrän­sas av sekretess.

Rapportering till de drabbade registrerade

I vis­sa situ­a­tio­ner mås­te även de drab­ba­de regi­stre­ra­de per­so­ner­na infor­me­ras av den per­son­upp­gifts­an­sva­ri­ge om att inci­den­ten har inträf­fat. Om det bedöms att inci­den­ten san­no­likt lett till en hög risk för fysis­ka per­so­ners rät­tig­he­ter och fri­he­ter ska den per­son­upp­gifts­an­sva­ri­ge skynd­samt infor­me­ra den regi­stre­ra­de om personuppgiftsincidenten.

De drab­ba­de ska då erhål­la infor­ma­tion om per­son­upp­gifts­in­ci­den­tens art och kon­takt­upp­gif­ter där mer infor­ma­tion kan erhål­las, t.ex. till data­skydds­om­bu­det om det finns en sådan utsedd vid före­ta­get. Dess­utom ska de drab­ba­de infor­me­ras om de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git för att mild­ra even­tu­el­la nega­ti­va effekter.

Undantag finns

Det finns dock undan­tag från att infor­me­ra de drab­ba­de. Det skul­le kun­na vara fal­let om den per­son­upp­gifts­an­sva­ri­ge exem­pel­vis har vid­ta­git tek­nis­ka skydds­åt­gär­der, så som kryp­te­ring, vil­ka gjort upp­gif­ter­na oläs­ba­ra för utom­stå­en­de. Det finns även ett undan­tag från att direkt infor­me­ra de drab­ba­de om det skul­le inbe­gri­pa en opro­por­tio­nell ansträng­ning. I såda­na fall kan en rik­tad infor­ma­tion till all­män­he­ten vara godtagbar.
Till­syns­myn­dig­he­ter­na har dock rätt att omprö­va den per­son­upp­gifts­an­sva­ri­ges beslut att inte infor­me­ra de drab­ba­de och åläg­ga den­ne att göra detta.

Avslutande kommentarer

Eftersom nät­brotts­lig­he­ten stän­digt utveck­las och tek­ni­ken, trots alla ansträng­ning­ar att täp­pa till luc­kor i dess funk­tio­na­li­tet, ibland bris­ter så är det garan­te­rat inte sista gång­en som per­son­upp­gif­ter kom­mer på vift på lik­nan­de sätt som nämnts ovan.

Där­för bör det lig­ga i var­je seri­ös aktörs intres­se att för­be­re­da sig för om det värs­ta skul­le hän­da. Främst för att mini­me­ra even­tu­el­la kon­se­kven­ser­na för de drab­ba­de och und­vi­ka att ska­da före­ta­gets för­tro­en­de, men även i syf­te att und­vi­ka ris­ken att till­dö­mas sank­tions­av­gif­ter av Datainspektionen.

Det inne­bär att det är lämp­ligt att man som före­ta­ga­re i sam­band med en genom­gång av sitt arbe­te med behand­ling av per­son­upp­gif­ter age­rar pro­ak­tivt och upp­rät­tar ruti­ner för att upp­täc­ka per­son­upp­gifts­in­ci­den­ter – samt har en plan för hur per­son­upp­gifts­in­ci­den­ter ska han­te­ras. På så vis ökar för­må­gan att age­ra i rätt tid och på rätt sätt om olyc­kan skul­le vara framme.

Dela artikeln om du gillade den!

Förslag på mer läsning

Miljö- och hållbarhetpåståenden i din marknadsföring

Med­vet­na kon­su­men­ter loc­kar till mil­jö- och håll­bar­hetspå­stå­en­den i före­ta­gens mark­nads­fö­ring. Men kra­ven på vad som får sägas inom det­ta områ­de är extra hår­da. Ta reda på vad som gäl­ler. Läs den­na arti­kel i Knt­nt Maga­sin skri­ven av advo­kat Erik Ull­berg och biträ­dan­de jurist Richard Fürst på Wistrand advokatbyrå.

Läs artikel »
Matrix

Content marketing v/​s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå

Står du i begrepp att ta hjälp av en byrå i din con­tent mar­ke­ting? Då har du säkert upp­täckt att var och varan­nan byrå i kom­mu­ni­ka­tions­bran­schen nume­ra påstår sig vara exper­ter på ämnet. Begrep­pet används fli­tigt av många, vil­ket gör det svå­ra­re för dig som köpa­re att veta vem eller vil­ka du ska vän­da dig till. I den­na arti­kel hjäl­per Lars Wir­tén dig på traven!

Läs artikel »
Virvlande Löv

Så får du kontroll på arbetsflödet i din content marketing – del 2

Spar på tid och kraf­ter – effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting! Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar i Knt­nt Maga­sin. Det­ta är en and­ra. Trev­lig läsning! 

Läs artikel »
Hitesh Choudhary T1paibmtjim Unsplash

Vad är artificiell intelligens?

Fun­de­rar du på vad AI är och hur du skall för­hål­la dig till den revo­lu­tion inom områ­det som vi med säker­het bara sett bör­jan på? Det­ta är något som vår krö­ni­kör Mar­tin Modigh Karls­son ägnar myc­ket tan­ke­mö­da. Läs hans intres­san­ta ana­lys i dagens artikel. 

Läs artikel »
Höstväg

Så får du koll på arbetsflödet i din content marketing – del 1

Effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting. Det finns fle­ra anled­ning­ar. Inte minst spar du tid. Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar. Den förs­ta hit­tar du här!

Läs artikel »
Röstsök

Så SEO-optimerar du webbplatsen för röstsök

2020 kom­mer 50% av alla sök­ning­ar ske med rös­ten visar stu­die och Goog­les ”voice search”-tjänst väx­er så det kna­kar. Det­ta gör att du bör SEO-opti­me­ra din webb­plats för röst­sök­ning­ar redan nu. I dagens gäst­krö­ni­ka för­kla­rar Alex­an­dra Jung hur du gör!

Läs artikel »
Bebisarisimring 130121019

Inbound marketing sneglar mot content marketing

I den­na gäst­krö­ni­ka reflek­te­rar Niloo Lopez över vart inbound mar­ke­ting är på väg efter att ha besökt mega­kon­fe­ren­sen Inbound 2019. 

Läs artikel »
Niloolopez

Överraskande slutsats från INBOUND 2019

Knt­nt Radio är till­ba­ka! I avsnitt 209 dis­ku­te­rar Pia Teg­borg, Tho­mas Bar­re­gren och Niloo Loo­pez uti­från Niloos ”take aways” från 2019 års upp­la­ga av mega­kon­fe­ren­sen INBOUND. Sam­ta­let lan­dar i en ovän­tad kon­klu­sion. Pia och Tho­mas ger ock­så en för­kla­ring till den lång­va­ri­ga tyst­na­den. Efter 208 avsnitt under näs­tan lika många vec­kor blev det helt plöts­ligt tyst. Vad hände?

Läs artikel »
Dirigent

Därför är redaktörens roll så viktig

Digi­ta­la platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Där­för är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wir­tén och Jör­gen Olsson.

Läs artikel »
Tjej Som Jobbar Med Design

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bil­der, färg och form kan bli verk­tyg även i din kre­a­ti­va verktygslåda.

Läs artikel »