Nyhet 200 000 kronor i sanktionsavgift för brister i hanteringen av en personuppgiftsincident

7 maj 2020

Bristande hantering av personuppgiftsincidenter kan resultera i administrativa sanktionsavgifter. Den fjärde svenska sanktionsavgiften har meddelats Statens servicecenter (SSC) för att myndigheten i egenskap av personuppgiftsbiträde och personuppgiftsansvarig inte har agerat tillräckligt snabbt efter att ha fått vetskap om att obehöriga fått tillgång till personuppgifter som myndigheten behandlade.

Datainspektionen har beslutat att SSC ska betala en sanktionsavgift om 200 000 kronor. SSC föreläggs också att ta fram rutiner för dokumentation av personuppgiftsincidenter och att se till att dessa rutiner efterlevs.

Den grundläggande orsaken till sanktionsavgiften var en personuppgiftsincident som orsakades av en felaktighet i SSC:s system för lönehantering vilket ledde till att obehöriga fick åtkomst till personuppgifterna i systemet. Eftersom SSC behandlar personuppgifter avseende såväl anställda hos myndigheter som SSC:s egna anställda aktualiserade personuppgiftsincidenten SSC:s skyldigheter både som personuppgiftsbiträde i relation till myndigheterna och som personuppgiftsansvarig i relation till de egna anställda.

SSC fick vetskap om personuppgiftsincidenten den 28 mars 2019 men det dröjde till den 20 augusti 2019 innan SSC underrättade berörda myndigheter om incidenten. Vidare inkom SSC först den 25 juni 2019 med anmälan om personuppgiftsincidenten till Datainspektionen.

Datainspektionen konstaterar i tillsynsbeslutet att SSC i egenskap av personuppgiftsbiträde har underlåtit att utan onödigt dröjsmål underrätta de personuppgiftsansvariga myndigheterna om personuppgiftsincidenten. Vidare har SSC i egenskap av personuppgiftsansvarig inkommit med anmälan om personuppgiftsincidenten till Datainspektionen senare än 72 timmar efter att SSC fått vetskap om incidenten.

Datainspektionen har därmed beslutat att SSC ska betala en administrativ sanktionsavgift om 150 000 kronor för dröjsmålet med att underrätta de berörda myndigheterna om personuppgiftsincidenten samt ytterligare 50 000 kronor för att ha underlåtit att anmäla personuppgiftsincidenten till Datainspektionen i rätt tid.

Datainspektionen anmärker även på att SSC inte har dokumenterat väsentliga omständigheter kring personuppgiftsincidenten eller de åtgärder som har vidtagits med anledning av incidenten. SSC föreläggs därmed att upprätta rutiner för dokumentation av personuppgiftsincidenter. Dessa rutiner ska innebära att alla omständigheter kring personuppgiftsincidenterna ska dokumenteras, liksom dess effekter och vilka korrigerande åtgärder som har vidtagits. SSC ska löpande kontrollera och se till att dessa rutiner följs.

SSC har nu tre veckor på sig att överklaga beslutet, vilket vinner laga kraft om inget överklagande sker inom den angivna tiden.

Datainspektionens beslut i sin helhet finns tillgängligt i PDF-format här.

 

Läs hela vårt nyhetsbrev Personuppgifter & dataskydd 4/2020

Här kan du anmäla dig som prenumerant till vårt nyhetsbrev med fokus på GDPR som vi skickar kontinuerligt.

För information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.

DAC 6 - EU:s direktiv gällande rapporteringspliktiga gränsöverskridande arrangemang

DAC 6 är ett EU-direktiv som innebär att rådgivare åläggs en skyldighet att informera relevanta skattemyndigheter om kunders gränsöverskridande arrangemang. Syftet med informationsskyldigheten är att bekämpa skatteflykt, skattefusk och skatteundandragande.
4 juni 2020

Tydligare regler vid konsumentavtal

Den 1 maj 2020 trädde ett antal nya lagändringar i kraft på konsumenträttsområdet. Vi belyser här några av de viktigaste ändringarna.
4 juni 2020

Vikten av fortsatt fokus på compliance i tider av turbulens

Ett stort antal företag och anställda kommer sannolikt att påverkas kraftigt av Covid-19 och dess följdeffekter. De nya utmaningar som uppstår i samband med krisen kommer bland annat att påverka företagens compliance-risker, vilka sannolikt kommer förändras, och i viss mån öka. I kristider är det viktigt att interna rutiner upprätthålls och att företag vidtar åtgärder för att effektivt förebygga en förändrad och eventuellt ökad riskexponering.
28 maj 2020