AMES 1
KRÖNIKA DATAINSPEKTIONEN UTFÄRDAR ÄNNU EN SANKTIO
NSAVGIFT Den 28 april kom ett beslut från Datainspektionen om att Statens servicecenter (SSC) ska betala en sanktionsavgift om totalt 200 000 kronor till följd av att myndigheten har anmält en personuppgiftsincident försent. Detta är den fjärde sanktionsavgiften som Datainspektionen utfärdar sedan förordningen trädde ikraft och den här gången handlar det alltså om en incident som innebär en risk för att personuppgifter ska hamna i orätta händer. SSC har förutom sanktionsavgiften även förelagts att upprätta rutiner för personuppgiftsincidenter och ta fram dokumentation för detta, samt att SSC ska ha en löpande kontroll och uppföljning av rutinerna. Datainspektionen har också noterat att SSC saknat personuppgiftsbiträdesavtal i enlighet med förordningen. SSC är en myndighet som ska förmedla administrativa tjänster åt andra myndigheter såsom framförallt ekonomi-, lön- och konsultrelaterade tjänster och en sådan tjänst som SSC har tillhandahållit åt 47 myndigheter i Sverige är ett lönehanteringssystem. Systemet behandlar personuppgifter om personalen för respektive myndighet och kan vara uppgifter som personnummer, namn, anställningstid, ekonomisk information och nyckelpersoner. Personuppgiftsincidenten som föranlett sanktionsavgiften inträffade under våren förra året då en anställd på SSC upptäckte att det var möjligt att se personuppgifter från andra myndigheter än SSC i systemet och det visade sig att alla systemanvändare kunde ta del av personuppgifter för personer utanför den egna myndigheten. Först i juni lämnade SSC in en anmälan till Datainspektionen i egenskap av personuppgiftsansvarig och i augusti underrättade SSC de 47 myndigheterna om incidenten, i egenskap av personuppgiftsbiträde. Personuppgiftsbiträden har skyldighet att utan dröjsmål underrätta den personuppgiftsansvarige vid en personuppgiftsincident och det är sedan upp till personuppgiftsansvarige att bedöma om incidenten ska anmälas till Datainspektionen. Detta för att personuppgiftsansvarige ska kunna uppfylla sin skyldighet att anmäla incidenten till Datainspektionen utan onödigt dröjsmål och inom 72 timmar efter att man har fått kännedom om incidenten. Dessförinnan behöver den personuppgiftsansvarige ta ställning till om det är en incident som ska anmälas till Datainspektionen, dvs. om det föreligger en risk för personers rättigheter och friheter. Utöver detta ska personuppgiftsansvarige även dokumentera alla personuppgiftsincidenter och vilka åtgärder som har vidtagits. Datainspektionen har bedömt att SSC har inte handlat i enighet med förordningen och agerat försent, dels att myndigheterna inte underrättats utan onödigt dröjsmål och att SSC dessutom anmält till Datainspektionen långt senare än inom de 72 timmar som anges som tidsgräns i förordningen. Datainspektionen ser allvarligt på bristande agerande i samband med personuppgiftsincidenter och det är viktigt att det finns rutiner i företaget för det fall att det skulle inträffa en incident eller föreligga säkerhetsbrister i IT-system som behandlar personuppgifter. Det behöver finnas dokumentation över rutiner vid fall av incident och att samtliga personuppgiftsincidenter ska dokumenteras, såsom omständigheterna, incidentens effekter och vilka åtgärder som vidtagits. ® Jessica Tornberg Biträdande jurist Maminza Advokatbyrå AB Hjärta till Hjärta blöder. Hjälp oss att existera i dessa utsatta tider. Swisha ditt hjälpande bidrag! #räddahjärtat SWISH 900 78 57 8