Då och då händer det att ett företag förlorar kontrollen över sina kunders personuppgifter. Det är naturligtvis inte bra och får konsekvenser. I denna artikel förklarar advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrands Advokatbyrå vad en personuppgiftsincident är och vad du måste göra när en sådan har inträffat. Läs och lär!
Med jämna mellanrum uppdagas händelser där företag förlorat kontroll över sin kundinformation. Till exempel uppdagades 2018 att British Airways blivit utsatt för skadlig kod som ledde till att personuppgifter från 380 000 kunder läckte ut. Senare samma år upptäcktes att hotellkedjan Marriott exponerat kunduppgifter om ca 339 miljoner gäster.
De båda exemplen visar att missöden av detta slag inte helt sällan inträffar.
Vad är en personuppgiftsincident?
Till att börja med så är en personuppgift all slags information som kan knytas till en levande person. Det kan röra sig om exempelvis namn, adress, foto och personnummer. En personuppgiftsincident kan inträffa om personuppgifter om registrerade personer blivit förstörda, gått förlorade eller på annat sätt hamnat i orätta händer.
Olika rapporteringsskyldigheter gäller
Beroende på vilket regelverk som gäller för din organisation ska personuppgiftsincidenter rapporteras till olika tillsynsansvariga. För företag som arbetar med marknadsföring torde rapporteringsskyldigheten enligt Dataskyddsförordningen vara det vanligaste.
För en del organisationer kan rapporteringsskyldighet även följa av brottsdatalagen eller enligt lagen om elektronisk kommunikation. Fortsättningsvis fokuserar vi emellertid på kraven enligt GDPR.
Rapportering till Datainspektionen
Om det har inträffat en personuppgiftsincident ska detta anmälas skyndsamt till Datainspektionen inom 72 timmar. Det finns dock ett undantag från kravet att rapportera om det bedömas osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter.
Om en anmälan ska ske, och denna inte görs inom 72 timmar, så måste förseningen motiveras för tillsynsmyndigheten. Det bör även nämnas att det idag är vanligt att personuppgiftsbiträden, t.ex. ett telemarketingföretag anlitat av den personuppgiftsansvarige, hanterar personuppgifter och i sådana fall ska denne skyndsamt underrätta den personuppgiftsansvarige om en incident inträffat.
Så gör du en incidentanmälan
En incidentanmälan ska innehålla viss information så som personuppgiftsincidentens art, det ungefärliga antalet registrerade som berörs, en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda eller mildra personuppgiftsincidenten.
Här är det även av vikt att påpeka att det är viktigt att den personuppgiftsansvarige för en strukturerad dokumentation över omständigheterna kring personuppgiftsincidenten, och vilka åtgärder och beslut som har vidtagits.
Själva anmälan av en personuppgiftsincident sker genom en blankett som skickas till Datainspektionen. Det kan även vara värt att nämna att blanketten och dess innehåll blir en allmän handling. Ett utlämnande prövas dock först av tillsynsmyndigheten och kan begränsas av sekretess.
Rapportering till de drabbade registrerade
I vissa situationer måste även de drabbade registrerade personerna informeras av den personuppgiftsansvarige om att incidenten har inträffat. Om det bedöms att incidenten sannolikt lett till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige skyndsamt informera den registrerade om personuppgiftsincidenten.
De drabbade ska då erhålla information om personuppgiftsincidentens art och kontaktuppgifter där mer information kan erhållas, t.ex. till dataskyddsombudet om det finns en sådan utsedd vid företaget. Dessutom ska de drabbade informeras om de sannolika konsekvenserna av personuppgiftsincidenten och de åtgärder som den personuppgiftsansvarige har vidtagit för att mildra eventuella negativa effekter.
Undantag finns
Det finns dock undantag från att informera de drabbade. Det skulle kunna vara fallet om den personuppgiftsansvarige exempelvis har vidtagit tekniska skyddsåtgärder, så som kryptering, vilka gjort uppgifterna oläsbara för utomstående. Det finns även ett undantag från att direkt informera de drabbade om det skulle inbegripa en oproportionell ansträngning. I sådana fall kan en riktad information till allmänheten vara godtagbar.
Tillsynsmyndigheterna har dock rätt att ompröva den personuppgiftsansvariges beslut att inte informera de drabbade och ålägga denne att göra detta.
Avslutande kommentarer
Eftersom nätbrottsligheten ständigt utvecklas och tekniken, trots alla ansträngningar att täppa till luckor i dess funktionalitet, ibland brister så är det garanterat inte sista gången som personuppgifter kommer på vift på liknande sätt som nämnts ovan.
Därför bör det ligga i varje seriös aktörs intresse att förbereda sig för om det värsta skulle hända. Främst för att minimera eventuella konsekvenserna för de drabbade och undvika att skada företagets förtroende, men även i syfte att undvika risken att tilldömas sanktionsavgifter av Datainspektionen.
Det innebär att det är lämpligt att man som företagare i samband med en genomgång av sitt arbete med behandling av personuppgifter agerar proaktivt och upprättar rutiner för att upptäcka personuppgiftsincidenter – samt har en plan för hur personuppgiftsincidenter ska hanteras. På så vis ökar förmågan att agera i rätt tid och på rätt sätt om olyckan skulle vara framme.
Dela artikeln om du gillade den!
Liknande artiklar
Förslag på mer läsning
Content marketing v/s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå
Står du i begrepp att ta hjälp av en byrå i din content marketing? Då har du säkert upptäckt att var och varannan byrå i kommunikationsbranschen numera påstår sig vara experter på ämnet. Begreppet används flitigt av många, vilket gör det svårare för dig som köpare att veta vem eller vilka du ska vända dig till. I denna artikel hjälper Lars Wirtén dig på traven!
Läs artikel »Så skyddar du företagets hemligheter och viktiga kundrelationer
Den höga rörligheten på arbetsmarknaden leder till att många byter jobb. För att hindra att företagshemligheter och viktiga kundrelationer följer med till konkurrenten behöver arbetsgivaren känna till juridiken. Om detta handlar dagens artikel författad av advokat Gustav Sandberg och biträdande jurist Viktoria Hybbinette på Wistrand Advokatbyrå.
Läs artikel »Så får du kontroll på arbetsflödet i din content marketing – del 2
Spar på tid och krafter – effektivisera arbetsflödet i din content marketing! Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar i Kntnt Magasin. Detta är en andra. Trevlig läsning!
Läs artikel »Vad är artificiell intelligens?
Funderar du på vad AI är och hur du skall förhålla dig till den revolution inom området som vi med säkerhet bara sett början på? Detta är något som vår krönikör Martin Modigh Karlsson ägnar mycket tankemöda. Läs hans intressanta analys i dagens artikel.
Läs artikel »Så får du koll på arbetsflödet i din content marketing – del 1
Effektivisera arbetsflödet i din content marketing. Det finns flera anledningar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar. Den första hittar du här!
Läs artikel »Så SEO-optimerar du webbplatsen för röstsök
2020 kommer 50% av alla sökningar ske med rösten visar studie och Googles ”voice search”-tjänst växer så det knakar. Detta gör att du bör SEO-optimera din webbplats för röstsökningar redan nu. I dagens gästkrönika förklarar Alexandra Jung hur du gör!
Läs artikel »Inbound marketing sneglar mot content marketing
I denna gästkrönika reflekterar Niloo Lopez över vart inbound marketing är på väg efter att ha besökt megakonferensen Inbound 2019.
Läs artikel »Överraskande slutsats från INBOUND 2019
Kntnt Radio är tillbaka! I avsnitt 209 diskuterar Pia Tegborg, Thomas Barregren och Niloo Loopez utifrån Niloos ”take aways” från 2019 års upplaga av megakonferensen INBOUND. Samtalet landar i en oväntad konklusion. Pia och Thomas ger också en förklaring till den långvariga tystnaden. Efter 208 avsnitt under nästan lika många veckor blev det helt plötsligt tyst. Vad hände?
Läs artikel »Därför är redaktörens roll så viktig
Digitala plattformar har öppnat upp fantastiska möjligheter för företag att dela med sig av värdeskapande innehåll till kunder och andra intressenter. Men intrycket kan bli spretigt i den digitala miljön. Därför är redaktörens roll central i all innehållsmarknadsföring. Läs dagens artikel skriven av Lars Wirtén och Jörgen Olsson.
Läs artikel »Utveckla din story med rätt design
Har du en inre bild av hur din artikel skulle se ut när den kommer i tryck? Med design kan du utveckla din story och skapa ett nytt perspektiv. Bilder, färg och form kan bli verktyg även i din kreativa verktygslåda.
Läs artikel »