Bristande hantering av personuppgiftsincidenter kan resultera i administrativa sanktionsavgifter. Den fjärde svenska sanktionsavgiften har meddelats Statens servicecenter (SSC) för att myndigheten i egenskap av personuppgiftsbiträde och personuppgiftsansvarig inte har agerat tillräckligt snabbt efter att ha fått vetskap om att obehöriga fått tillgång till personuppgifter som myndigheten behandlade.
Datainspektionen har beslutat att SSC ska betala en sanktionsavgift om 200 000 kronor. SSC föreläggs också att ta fram rutiner för dokumentation av personuppgiftsincidenter och att se till att dessa rutiner efterlevs.
Den grundläggande orsaken till sanktionsavgiften var en personuppgiftsincident som orsakades av en felaktighet i SSC:s system för lönehantering vilket ledde till att obehöriga fick åtkomst till personuppgifterna i systemet. Eftersom SSC behandlar personuppgifter avseende såväl anställda hos myndigheter som SSC:s egna anställda aktualiserade personuppgiftsincidenten SSC:s skyldigheter både som personuppgiftsbiträde i relation till myndigheterna och som personuppgiftsansvarig i relation till de egna anställda.
SSC fick vetskap om personuppgiftsincidenten den 28 mars 2019 men det dröjde till den 20 augusti 2019 innan SSC underrättade berörda myndigheter om incidenten. Vidare inkom SSC först den 25 juni 2019 med anmälan om personuppgiftsincidenten till Datainspektionen.
Datainspektionen konstaterar i tillsynsbeslutet att SSC i egenskap av personuppgiftsbiträde har underlåtit att utan onödigt dröjsmål underrätta de personuppgiftsansvariga myndigheterna om personuppgiftsincidenten. Vidare har SSC i egenskap av personuppgiftsansvarig inkommit med anmälan om personuppgiftsincidenten till Datainspektionen senare än 72 timmar efter att SSC fått vetskap om incidenten.
Datainspektionen har därmed beslutat att SSC ska betala en administrativ sanktionsavgift om 150 000 kronor för dröjsmålet med att underrätta de berörda myndigheterna om personuppgiftsincidenten samt ytterligare 50 000 kronor för att ha underlåtit att anmäla personuppgiftsincidenten till Datainspektionen i rätt tid.
Datainspektionen anmärker även på att SSC inte har dokumenterat väsentliga omständigheter kring personuppgiftsincidenten eller de åtgärder som har vidtagits med anledning av incidenten. SSC föreläggs därmed att upprätta rutiner för dokumentation av personuppgiftsincidenter. Dessa rutiner ska innebära att alla omständigheter kring personuppgiftsincidenterna ska dokumenteras, liksom dess effekter och vilka korrigerande åtgärder som har vidtagits. SSC ska löpande kontrollera och se till att dessa rutiner följs.
SSC har nu tre veckor på sig att överklaga beslutet, vilket vinner laga kraft om inget överklagande sker inom den angivna tiden.
Datainspektionens beslut i sin helhet finns tillgängligt i PDF-format här.
Läs hela vårt nyhetsbrev Personuppgifter & dataskydd 4/2020
För information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.
