Nyhet

200 000 kronor i sanktionsavgift för brister i hanteringen av en personuppgiftsincident

7 maj 2020

Bristande hantering av personuppgiftsincidenter kan resultera i administrativa sanktionsavgifter. Den fjärde svenska sanktionsavgiften har meddelats Statens servicecenter (SSC) för att myndigheten i egenskap av personuppgiftsbiträde och personuppgiftsansvarig inte har agerat tillräckligt snabbt efter att ha fått vetskap om att obehöriga fått tillgång till personuppgifter som myndigheten behandlade.

Datainspektionen har beslutat att SSC ska betala en sanktionsavgift om 200 000 kronor. SSC föreläggs också att ta fram rutiner för dokumentation av personuppgiftsincidenter och att se till att dessa rutiner efterlevs.

Den grundläggande orsaken till sanktionsavgiften var en personuppgiftsincident som orsakades av en felaktighet i SSC:s system för lönehantering vilket ledde till att obehöriga fick åtkomst till personuppgifterna i systemet. Eftersom SSC behandlar personuppgifter avseende såväl anställda hos myndigheter som SSC:s egna anställda aktualiserade personuppgiftsincidenten SSC:s skyldigheter både som personuppgiftsbiträde i relation till myndigheterna och som personuppgiftsansvarig i relation till de egna anställda.

SSC fick vetskap om personuppgiftsincidenten den 28 mars 2019 men det dröjde till den 20 augusti 2019 innan SSC underrättade berörda myndigheter om incidenten. Vidare inkom SSC först den 25 juni 2019 med anmälan om personuppgiftsincidenten till Datainspektionen.

Datainspektionen konstaterar i tillsynsbeslutet att SSC i egenskap av personuppgiftsbiträde har underlåtit att utan onödigt dröjsmål underrätta de personuppgiftsansvariga myndigheterna om personuppgiftsincidenten. Vidare har SSC i egenskap av personuppgiftsansvarig inkommit med anmälan om personuppgiftsincidenten till Datainspektionen senare än 72 timmar efter att SSC fått vetskap om incidenten.

Datainspektionen har därmed beslutat att SSC ska betala en administrativ sanktionsavgift om 150 000 kronor för dröjsmålet med att underrätta de berörda myndigheterna om personuppgiftsincidenten samt ytterligare 50 000 kronor för att ha underlåtit att anmäla personuppgiftsincidenten till Datainspektionen i rätt tid.

Datainspektionen anmärker även på att SSC inte har dokumenterat väsentliga omständigheter kring personuppgiftsincidenten eller de åtgärder som har vidtagits med anledning av incidenten. SSC föreläggs därmed att upprätta rutiner för dokumentation av personuppgiftsincidenter. Dessa rutiner ska innebära att alla omständigheter kring personuppgiftsincidenterna ska dokumenteras, liksom dess effekter och vilka korrigerande åtgärder som har vidtagits. SSC ska löpande kontrollera och se till att dessa rutiner följs.

SSC har nu tre veckor på sig att överklaga beslutet, vilket vinner laga kraft om inget överklagande sker inom den angivna tiden.

Datainspektionens beslut i sin helhet finns tillgängligt i PDF-format här.

 

Läs hela vårt nyhetsbrev Personuppgifter & dataskydd 4/2020

Här kan du anmäla dig som prenumerant till vårt nyhetsbrev med fokus på GDPR som vi skickar kontinuerligt.

För information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.

Förnybar energi – Rådet enas om en tillfällig krisförordning

I början av november presenterade Europeiska Kommissionen ett förslag om en påskyndad utbyggnad av förnybara energikällor för att påskynda omställningen till grön energi och minska EU:s beroende av ryska fossila bränslen. I enlighet med Europeiska Rådets slutsatser som framfördes i oktober, menar Kommissionen att den pågående energikrisen kräver omedelbara åtgärder för att införliva delar av REPowerEU-planen, och föreslår därmed en krisförordning som baseras på nödbestämmelsen i artikel 122.1 i fördraget om europeiska unionens funktionssätt (FEUF).
6 december 2022

”När jag fick stipendiet kände jag att Vinge trodde på mig”

Hawjin Shamer var en av de allra första vinnarna av Vinges mångfaldsstipendier när hon fick det 2004. Då var hon nyss fyllda 19 och elev på Angeredsgymnasiet, idag arbetar hon som senior åklagare på Riksenheten mot korruption.
1 december 2022

Nytt förslag om utvidgning av arbetsmiljöansvaret

I slutet av augusti 2022 presenterades betänkandet ’’SOU 2022:45 – Steg framåt, med arbetsmiljön i fokus’’. I utredningen lämnas bland annat förslag om att arbetsmiljöansvaret ska utvidgas för att bättre överensstämma med hur arbetet organiseras på dagens arbetsmarknad.
30 november 2022