← Tillbaka till bloggens startsida

Personuppgiftsincident – Du har 72 timmar på dig

02 maj 2021

Personuppgiftsincidenter beror ofta på mänskliga faktorn, men det finns många olika sorters personuppgiftsincidenter.

I augusti 2013 utsattes Yahoo för ett av historiens största dataintrång där mer än 1 miljard användarkonton hackades.¹ I samma anda pågår just nu rättegången mot åtta åtalade för en av de största dataintrångshärvorna i Sverige där de misstänkta ska ha kommit över 40 miljoner kronor.² I takt med att allt fler personliga uppgifter i vårt samhälle digitaliseras har även brottsbenägenheten kring denna värdefulla information ökat. För att förvissa sig om att behandlingen av personliga uppgifter även i fortsättningen hanteras på ett säkert och effektivt sätt har det därför i den nya dataskyddsförordningen tillkommit ett striktare ansvar för företag och andra personuppgiftsansvariga.

En nyhet i den nya dataskyddsförordningen (GDPR) är vilka skyldigheter en personuppgiftsansvarig har vid just ett dataintrång; i lagen betecknad som en personuppgiftsincident.³ Vid en personuppgiftsincident⁴ där obehöriga har fått tillträde till personuppgifter ska den personuppgiftsansvarige inom 72 timmar, efter att ha fått vetskap om detta, kontakta:⁵

Den ansvariga tillsynsmyndigheten
De registrerade (berörda individerna)

Vilka uppgifter måste förmedlas?

Till tillsynsmyndigheten:

1. Beskriva personuppgiftsincidentens art:

Vad är det som har hänt, och hur har detta inträffat?
- Exempelvis: Företagets databaser har drabbats av ett virus;
- någon har hackat sig in på systemet;
- någon obehörig har manuellt hämtat ut uppgifterna o.s.v.
Hur många har drabbats?
Vilka personuppgifter har berörts?
- Exempelvis:
- namn,
- personnummer,
- adress,
- IP-adress o.s.v. ⁶

2. Redogöra för de sannolika konsekvenserna för incidenten:

Vad innebär det att personerna bakom incidenten nu har dessa personuppgifter?
- Diskriminering av de personuppgiftsregistrerade?
- Id-stölder?
- Finansiella stölder och bedrägerier o.s.v.?

3. Beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller har föreslagit att vidta för att åtgärda personuppgiftsincidenten. Om det är lämpligt, även åtgärder för att mildra de negativa effekterna av incidenten?

4. Som personuppgiftsansvarig ska du även förse tillsynsmyndigheten med kontaktuppgifter till det dataskyddsombud eller andra kontakter som kan ha mer information om incidenten.

För att tillförsäkra tillsynsmyndigheten att den personuppgiftsansvarige har genomfört ovanstående åtgärder måste dessa även dokumenteras. Skulle den personuppgiftsansvarige missa sin deadline kan denne behöva betala administrativa sanktionsavgifter upp till 10 000 000 EUR eller 2 % av den globala omsättningen, beroende på vilket värde som är högst.⁷⁸ I sammanhanget kan det vara värt att nämna att informationen till tillsynsmyndigheten kan tillhandahållas i olika omgångar om det inte skulle vara möjligt att förse tillsynsmyndigheten med all information samtidigt. 72-timmars regeln kvarstår ändock.

Till de berörda individerna:

1. Om det är så att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter så måste samma uppgifter som förmedlades till tillsynsmyndigheten även lämnas till de berörda individerna.

2. Informationsplikten är dock inte absolut och föreligger ett eller flera av nedanstående alternativ är den personuppgiftsansvarige undantagen sin informationsplikt. Undantagsfallen är tillämpliga om den personuppgiftsansvarige:

a) redan har vidtagit skyddsåtgärder för uppgifterna (exempelvis krypterat uppgifterna),

b) på något annat sätt eliminerat den höga risk som fanns för de personuppgiftsregistrerades rättigheter och friheter eller

c) om det skulle vara en oproportionerlig ansträngning att informera personen, i vilket fall allmänheten istället får informeras.

En ”72-timmars regel” gällande informationsplikt till de personuppgiftsregistrerade finns inte, men däremot måste informeringen om personuppgiftsincidenten ske utan onödigt dröjsmål. Innebörden av detta uttryck tillsammans med andra uttryck som: ”fysiska personers rättigheter och friheter” och ”oproportionerlig ansträngning” är i nuläget väldigt oklart. Förhoppningsvis kommer fler direktiv från Integritetsskyddsmyndigheten att ges i samband med att vi närmar oss implementeringen av dataskyddsförordningen. Till dess gäller det att försäkra sig med hängslen och livremmar.

Viktigt att tänka på för företag⁹

I så stor utsträckning som möjligt, implementera tekniska och organisatoriska åtgärder som försvårar för obehöriga att få tillgång till personuppgifter.
Kryptering, anonymisering och andra autentiseringsåtgärder kan ges som exempel.
Ha goda rutiner för att upptäcka och utreda personuppgiftsincidenter eftersom dessa måste rapporteras till tillsynsmyndigheten inom 72 timmar.
Löpande utvärdera och testa de implementerade tekniska och organisatoriska säkerhetsåtgärderna för att på så sätt tillförsäkra att personuppgifterna har ett tillräckligt gott skydd.

Kenny Chung

info@gdprhero.se

046-2731717

Fotnoter

https://www.idg.se/2.1085/1.688018/yahoo-dataintrang
https://www.svt.se/nyheter/inrikes/liga-misstanks-ligga-bakom-tusentals-dataintrang-kan-vara-storsta-it-harvan-nagonsin
För det fullständiga lagrummet hänvisas till artikel 33 och 34 i GDPR.
Definition anges i artikel 4.12 – ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”.
Undantaget till detta är ”[…] såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.”
För mer information om vad som menas med personuppgifter hänvisas till artikel 4.1 i den nya dataskyddsförordningen.
Se artikel 83 i den nya dataskyddsförordningen för en fullständig förklaring av de administrativa sanktionsavgifterna.
Är man försenad ska man dessutom inkomma med en motivering till sin försening tillsammans med den slutgiltiga rapporten. Är motiveringen ”rimlig” kan man tänka sig att de administrativa sanktionsavgifterna kan reduceras eller helt falla bort.
Vad som förväntas av företags säkerhetsbehandling av personuppgifter går att finna under artikel 32 i den nya dataskyddsförordningen.

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Boka ett kostnadsfritt möte med oss idag och få svar på era frågor

Andra relevanta blogginlägg

Anmälan av personuppgiftsincidenter

Enligt GDPR är personuppgiftsansvariga skyldiga att anmäla personuppgiftsincidenter till behörig...

Vill du få en notis när nästa blogginlägg publiceras?

Klicka här!

Redo att ta ert GDPR-arbete till nästa nivå?

Fyll i formuläret, så blir du kontaktad av någon från vårt team så snart som möjligt.

Boka demo

Ditt förnamn *

E-postadress *

Organisation *

Föreslå gärna en mötestid

Vad är du intresserad av att veta mer om?

Allmän information om vad ni gör & era tjänster

GDPR-verktyg (GDPR Hero Register)

Tjänster för offentlig sektor

Dataskyddsombudstjänst

Utbildning / E-learning

Legal department as a service (LdaaS)

AnnatAnnat

Om du är mänsklig, lämna det här fältet tomt.