Nyhet

200 000 kronor i sanktionsavgift för brister i hanteringen av en personuppgiftsincident

7 maj 2020

Bristande hantering av personuppgiftsincidenter kan resultera i administrativa sanktionsavgifter. Den fjärde svenska sanktionsavgiften har meddelats Statens servicecenter (SSC) för att myndigheten i egenskap av personuppgiftsbiträde och personuppgiftsansvarig inte har agerat tillräckligt snabbt efter att ha fått vetskap om att obehöriga fått tillgång till personuppgifter som myndigheten behandlade.

Datainspektionen har beslutat att SSC ska betala en sanktionsavgift om 200 000 kronor. SSC föreläggs också att ta fram rutiner för dokumentation av personuppgiftsincidenter och att se till att dessa rutiner efterlevs.

Den grundläggande orsaken till sanktionsavgiften var en personuppgiftsincident som orsakades av en felaktighet i SSC:s system för lönehantering vilket ledde till att obehöriga fick åtkomst till personuppgifterna i systemet. Eftersom SSC behandlar personuppgifter avseende såväl anställda hos myndigheter som SSC:s egna anställda aktualiserade personuppgiftsincidenten SSC:s skyldigheter både som personuppgiftsbiträde i relation till myndigheterna och som personuppgiftsansvarig i relation till de egna anställda.

SSC fick vetskap om personuppgiftsincidenten den 28 mars 2019 men det dröjde till den 20 augusti 2019 innan SSC underrättade berörda myndigheter om incidenten. Vidare inkom SSC först den 25 juni 2019 med anmälan om personuppgiftsincidenten till Datainspektionen.

Datainspektionen konstaterar i tillsynsbeslutet att SSC i egenskap av personuppgiftsbiträde har underlåtit att utan onödigt dröjsmål underrätta de personuppgiftsansvariga myndigheterna om personuppgiftsincidenten. Vidare har SSC i egenskap av personuppgiftsansvarig inkommit med anmälan om personuppgiftsincidenten till Datainspektionen senare än 72 timmar efter att SSC fått vetskap om incidenten.

Datainspektionen har därmed beslutat att SSC ska betala en administrativ sanktionsavgift om 150 000 kronor för dröjsmålet med att underrätta de berörda myndigheterna om personuppgiftsincidenten samt ytterligare 50 000 kronor för att ha underlåtit att anmäla personuppgiftsincidenten till Datainspektionen i rätt tid.

Datainspektionen anmärker även på att SSC inte har dokumenterat väsentliga omständigheter kring personuppgiftsincidenten eller de åtgärder som har vidtagits med anledning av incidenten. SSC föreläggs därmed att upprätta rutiner för dokumentation av personuppgiftsincidenter. Dessa rutiner ska innebära att alla omständigheter kring personuppgiftsincidenterna ska dokumenteras, liksom dess effekter och vilka korrigerande åtgärder som har vidtagits. SSC ska löpande kontrollera och se till att dessa rutiner följs.

SSC har nu tre veckor på sig att överklaga beslutet, vilket vinner laga kraft om inget överklagande sker inom den angivna tiden.

Datainspektionens beslut i sin helhet finns tillgängligt i PDF-format här.

 

Läs hela vårt nyhetsbrev Personuppgifter & dataskydd 4/2020

Här kan du anmäla dig som prenumerant till vårt nyhetsbrev med fokus på GDPR som vi skickar kontinuerligt.

För information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.

Wibeke Sorling utnämnd till ny delägare

Med start 1 januari 2022 tillträder Wibeke Sorling som delägare på Vinges Göteborgskontor.
27 oktober 2021

Arbitration proceedings between a Member State and an investor from another Member State further curtailed – the judgment of the EU Court of Justice in PL Holdings

Following the much debated judgment by the CJEU in Achmea, arbitration clauses in bilateral investment treaties between Member States under which an investor in one of those Member States may bring proceedings against the other Member State are considered incompatible with EU law. However, the judgment in Achmea seemed to leave it open whether an arbitration agreement between a Member State and an investor from another Member State not based on such a clause would be considered acceptable by the CJEU. Yesterday’s ruling by the Court in the Swedish case PL Holdings (Case C-109/20) dealt with one aspect of this question, resulting in further limits to investment arbitration in the EU.
27 oktober 2021

Vinge slår upp portarna till IP@Vinge

Den 6 december bjuder vi in till IP@Vinge, en förmiddag i immaterialrättens tecken som samlar några av Sveriges främsta experter på IP-området. Tillsammans med inbjudna gäster diskuterar vi ett antal högaktuella IP-frågor under ledning av jur. dr Ulrika Wennersten.
22 oktober 2021