Nyhet 200 000 kronor i sanktionsavgift för brister i hanteringen av en personuppgiftsincident

7 maj 2020

Bristande hantering av personuppgiftsincidenter kan resultera i administrativa sanktionsavgifter. Den fjärde svenska sanktionsavgiften har meddelats Statens servicecenter (SSC) för att myndigheten i egenskap av personuppgiftsbiträde och personuppgiftsansvarig inte har agerat tillräckligt snabbt efter att ha fått vetskap om att obehöriga fått tillgång till personuppgifter som myndigheten behandlade.

Datainspektionen har beslutat att SSC ska betala en sanktionsavgift om 200 000 kronor. SSC föreläggs också att ta fram rutiner för dokumentation av personuppgiftsincidenter och att se till att dessa rutiner efterlevs.

Den grundläggande orsaken till sanktionsavgiften var en personuppgiftsincident som orsakades av en felaktighet i SSC:s system för lönehantering vilket ledde till att obehöriga fick åtkomst till personuppgifterna i systemet. Eftersom SSC behandlar personuppgifter avseende såväl anställda hos myndigheter som SSC:s egna anställda aktualiserade personuppgiftsincidenten SSC:s skyldigheter både som personuppgiftsbiträde i relation till myndigheterna och som personuppgiftsansvarig i relation till de egna anställda.

SSC fick vetskap om personuppgiftsincidenten den 28 mars 2019 men det dröjde till den 20 augusti 2019 innan SSC underrättade berörda myndigheter om incidenten. Vidare inkom SSC först den 25 juni 2019 med anmälan om personuppgiftsincidenten till Datainspektionen.

Datainspektionen konstaterar i tillsynsbeslutet att SSC i egenskap av personuppgiftsbiträde har underlåtit att utan onödigt dröjsmål underrätta de personuppgiftsansvariga myndigheterna om personuppgiftsincidenten. Vidare har SSC i egenskap av personuppgiftsansvarig inkommit med anmälan om personuppgiftsincidenten till Datainspektionen senare än 72 timmar efter att SSC fått vetskap om incidenten.

Datainspektionen har därmed beslutat att SSC ska betala en administrativ sanktionsavgift om 150 000 kronor för dröjsmålet med att underrätta de berörda myndigheterna om personuppgiftsincidenten samt ytterligare 50 000 kronor för att ha underlåtit att anmäla personuppgiftsincidenten till Datainspektionen i rätt tid.

Datainspektionen anmärker även på att SSC inte har dokumenterat väsentliga omständigheter kring personuppgiftsincidenten eller de åtgärder som har vidtagits med anledning av incidenten. SSC föreläggs därmed att upprätta rutiner för dokumentation av personuppgiftsincidenter. Dessa rutiner ska innebära att alla omständigheter kring personuppgiftsincidenterna ska dokumenteras, liksom dess effekter och vilka korrigerande åtgärder som har vidtagits. SSC ska löpande kontrollera och se till att dessa rutiner följs.

SSC har nu tre veckor på sig att överklaga beslutet, vilket vinner laga kraft om inget överklagande sker inom den angivna tiden.

Datainspektionens beslut i sin helhet finns tillgängligt i PDF-format här.

 

Läs hela vårt nyhetsbrev Personuppgifter & dataskydd 4/2020

Här kan du anmäla dig som prenumerant till vårt nyhetsbrev med fokus på GDPR som vi skickar kontinuerligt.

För information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.

Arbetsrättspodden # 25 - Provanställning

När en anställning påbörjas är det vanligt att den startar med en prövotid. Detta för att arbetsgivaren ska kunna se om den anställde är rätt person på rätt plats. Välkommen till Arbetsrättspodden, podden för dig som arbetar med HR och personalrelaterade frågor eller är nyfiken på arbetsrätt.
16 september 2020

Sanktioner och handelsbegränsningar mot Kina – påverkan på svenska företag

USA och EU har under sommaren fortsatt att införa handelsbegränsande åtgärder mot Kina. Åtgärderna har haft stora konsekvenser för omvärlden, inte minst då Kina sägs stå för nästan 30 % av världens totala tillverkning. Hur påverkas Sverige och svenska företag av dessa handelsbegränsningar?
15 september 2020

Vinge utnämns till bästa advokatbyrå för kvinnliga affärsjurister

Vinge har utsetts till “Bästa nordiska affärsjuridiska byrå för kvinnor” på European Women in Business Law Awards som ägde rum i London 10 september. Vinge tar för åttonde gången emot priset som den advokatbyrå som lyckats bäst med sitt jämställdhetsarbete.
10 september 2020