Publicerad 18 september 2017
Senast uppdaterad 20 maj 2019

I augusti 2013 utsattes Yahoo för ett av historiens största dataintrång där mer än 1 miljard användarkonton hackades.1 I samma anda pågår just nu rättegången mot åtta åtalade för en av de största dataintrångshärvorna i Sverige där de misstänkta ska ha kommit över 40 miljoner kronor.2 I takt med att allt fler personliga uppgifter i vårt samhälle digitaliseras har även brottsbenägenheten kring denna värdefulla information ökat. För att förvissa sig om att behandlingen av personliga uppgifter även i fortsättningen hanteras på ett säkert och effektivt sätt har det därför i den nya dataskyddsförordningen tillkommit ett striktare ansvar för företag och andra personuppgiftsansvariga.

En nyhet i den nya dataskyddsförordningen är nämligen vilka skyldigheter en personuppgiftsansvarig har vid just ett dataintrång; i lagen betecknad som en personuppgiftsincident.3 Vid en personuppgiftsincident4 där obehöriga har fått tillträde till personuppgifter ska den personuppgiftsansvarige inom 72 timmar, efter att ha fått vetskap om detta, kontakta:5

  • Den ansvariga tillsynsmyndigheten
  • Den personuppgiftsregistrerade

Vilka uppgifter måste förmedlas?

Till tillsynsmyndigheten:

1. Beskriva personuppgiftsincidentens art:

  • Vad är det som har hänt, och hur har detta inträffat?
    • Exempelvis: Företagets databaser har drabbats av ett virus;
    • någon har hackat sig in på systemet;
    • någon obehörig har manuellt hämtat ut uppgifterna o.s.v.
  • Hur många har drabbats?
  • Vilka personuppgiftsposter har berörts?
    • Exempelvis:
    • namn,
    • personnummer,
    • adress,
    • IP-adress o.s.v. 6

2. Redogöra för de sannolika konsekvenserna för incidenten:

  • Vad innebär det att personerna bakom incidenten nu har dessa personuppgifter?
    • Diskriminering av de personuppgiftsregistrerade?
    • Id-stölder?
    • Finansiella stölder och bedrägerier o.s.v.?

3. Beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller har föreslagit att vidta för att åtgärda personuppgiftsincidenten. Om det är lämpligt, även åtgärder för att mildra de negativa effekterna av incidenten?

4. Som personuppgiftsansvarig ska du även förse tillsynsmyndigheten med kontaktuppgifter till det dataskyddsombud eller andra kontakter som kan ha mer information om incidenten.

För att tillförsäkra tillsynsmyndigheten att den personuppgiftsansvarige har genomfört ovanstående åtgärder måste dessa även dokumenteras. Skulle den personuppgiftsansvarige missa sin deadline kan denne behöva betala administrativa sanktionsavgifter upp till 10 000 000 EUR eller 2 % av den globala omsättningen, beroende på vilket värde som är högst.78 I sammanhanget kan det vara värt att nämna att informationen till tillsynsmyndigheten kan tillhandahållas i olika omgångar om det inte skulle vara möjligt att förse tillsynsmyndigheten med all information samtidigt. 72-timmars regeln kvarstår ändock.

Till den personuppgiftsregistrerade:

1. Om det är så att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter så måste samma uppgifter som förmedlades till tillsynsmyndigheten även lämnas över till de personuppgiftsregistrerade.

2. Informationsplikten är dock inte absolut och föreligger ett eller flera av nedanstående alternativ är den personuppgiftsansvarige undantagen sin informationsplikt. Undantagsfallen är tillämpliga om den personuppgiftsansvarige:

a) redan har vidtagit skyddsåtgärder för uppgifterna (exempelvis krypterat uppgifterna),

b) på något annat sätt eliminerat den höga risk som fanns för de personuppgiftsregistrerades rättigheter och friheter eller

c) om det skulle vara en oproportionerlig ansträngning att informera personen, i vilket fall allmänheten istället får informeras.

En ”72-timmars regel” gällande informationsplikt till de personuppgiftsregistrerade finns inte, men däremot måste informeringen om personuppgiftsincidenten ske utan onödigt dröjsmål. Innebörden av detta uttryck tillsammans med andra uttryck som: ”fysiska personers rättigheter och friheter” och ”oproportionerlig ansträngning” är i nuläget väldigt oklart. Förhoppningsvis kommer fler direktiv från Dataskyddsinspektionen att ges i samband med att vi närmar oss implementeringen av dataskyddsförordningen. Till dess gäller det att försäkra sig med hängslen och livremmar.

Viktigt att tänka på för företag9

  • I så stor utsträckning som möjligt, implementera tekniska och organisatoriska åtgärder som försvårar för obehöriga att få tillgång till personuppgifter.
  • Kryptering, anonymisering och andra autentiseringsåtgärder kan ges som exempel.
  • Ha goda rutiner för att upptäcka och utreda personuppgiftsincidenter eftersom dessa måste rapporteras till tillsynsmyndigheten inom 72 timmar.
  • Löpande utvärdera och testa de implementerade tekniska och organisatoriska säkerhetsåtgärderna för att på så sätt tillförsäkra att personuppgifterna har ett tillräckligt gott skydd.

 

Kenny Chung

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

Fotnoter

  1. https://www.idg.se/2.1085/1.688018/yahoo-dataintrang 
  2. https://www.svt.se/nyheter/inrikes/liga-misstanks-ligga-bakom-tusentals-dataintrang-kan-vara-storsta-it-harvan-nagonsin 
  3. För det fullständiga lagrummet hänvisas till artikel 33 och 34 i den nya dataskyddsförordningen.
  4. För definition av en personuppgiftsincident hänvisas till artikel 4.12 i den nya dataskyddsförordningen.
  5. Undantaget till detta är ”[…] såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.” 
  6.  För mer information om vad som menas med personuppgifter hänvisas till artikel 4.1 i den nya dataskyddsförordningen.
  7. Se artikel 83 i den nya dataskyddsförordningen för en fullständig förklaring av de administrativa sanktionsavgifterna.
  8. Är man försenad ska man dessutom inkomma med en motivering till sin försening tillsammans med den slutgiltiga rapporten. Är motiveringen ”rimlig” kan man tänka sig att de administrativa sanktionsavgifterna kan reduceras eller helt falla bort.
  9. Vad som förväntas av företags säkerhetsbehandling av personuppgifter går att finna under artikel 32 i den nya dataskyddsförordningen.
Share This