Deloitte Legal Guide to Cross-Border Secured Transactions

Analys

Tre frågor om Datainspektionens sanktionsavgift mot Statens servicecenter och personuppgiftsincidenter

Publicerad: 2020-04-29

Den 28 april 2020 utfärdade Datainspektionen en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter efter att de hade dröjt med att underrätta både Datainspektionen och berörda myndigheter efter en personuppgiftsincident. Nedan besvarar vi översiktligt tre frågor om Datainspektionens beslut och personuppgiftsincidenter i allmänhet.*

Varför måste Statens servicecenter betala en sanktionsavgift?

Efter att Datainspektionen tagit emot flera anmälningar om en personuppgiftsincident hos Statens servicecenter inledde myndigheten en granskning. Personuppgiftsincidenten rörde en felaktighet i Statens servicecenters system för lönehantering och innebar att obehöriga kunde komma åt både personuppgifter som rörde servicecentrets egen personal och personuppgifter från myndigheter som anlitar Statens servicecenter för lönehantering.

Datainspektionen kunde efter sin granskning konstatera att Statens servicecenter dröjt för länge med att både underrätta de berörda myndigheterna och göra en incidentanmälan till Datainspektionen. Utöver detta var dokumentationen av incidenten som berörde den egna personalen inte tillräcklig.

Statens servicecenter förelades att ta fram rutiner för dokumentation av personuppgiftsincidenter, tillse att de upprättade rutinerna efterlevs och att betala en sanktionsavgift på sammanlagt 200 000 kronor.

Vad är en personuppgiftsincident?

Säkerhetsincidenter som kan innebära risker för människors rättigheter och friheter är personuppgiftsincidenter. Dessa risker kan innebära antingen att rättigheterna inskränks eller att någon förlorar kontrollen över insamlade uppgifter. Det spelar ingen roll om det har skett avsiktligt eller oavsiktligt för att händelsen ska klassificeras som en personuppgiftsincident.

Exempel på personuppgiftsincidenter kan vara att uppgifter om registrerade personer har kommit i fel händer, har blivit förstörda eller har gått förlorade.

Vad är viktigt att tänka på gällande personuppgiftsincidenter?

Datainspektionen är tydlig med att personuppgiftsincidenter kan få allvarliga konsekvenser för de registrerade individerna eftersom dessa exempelvis kan råka ut för ekonomisk skada eller kränkning. Dessutom kan en felaktig hantering av en personuppgiftsincident skada tilltron till organisationen som behandlar personuppgifter. Det kan också leda till sanktionsavgifter, vilket var fallet för Statens servicecenter.

Alla organisationer är skyldiga att göra en anmälan till Datainspektionen vid vissa typer av personuppgiftsincidenter. Anmälan ska ske inom 72 timmar efter att överträdelsen har upptäckts.

För att kunna hantera personuppgiftsincidenter rekommenderas att alla organisationer har förberett följande:

  • Alla inom organisationen vet hur man kan identifiera en personuppgiftsincident.
  • Alla inom organisationen har förståelse för att en personuppgiftsincident inte bara handlar om förlust eller stöld av personuppgifter.
  • Organisationen har rutiner för tillvägagångssätt om en personuppgiftsincident inträffar.
  • Organisationen har utsett en person eller en grupp som är ansvarig för att hantera personuppgiftsincidenter.
  • All personal inom organisationen vet hur de ska rapportera en personuppgiftsincident. 

Besök vår globala temasida om COVID-19

Deloitte har tagit fram en internationell temasida om COVID-19 för att hjälpa företag att hantera risker kopplade till rådande situation. Sidan uppdateras löpande med artiklar från Deloittes specialister.

Till temasidan

*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter

Hade du nytta av den här informationen?