MES 1
KRÖNIKA E-POST INTE LÄNGRE ALLDELES ENKELT E-post
hantering och GDPR är ett område som bäddar för belymmer om man saknar rutiner som följs. Nyligen granskade integritetsskyddsmyndigheten (IMY) en myndighet som skickade ut automatiserad e-post till berorda aktörer inom myndigheten. Syftet med utskicket var att korrigera fel i verksamheten samt att utveckla och förbättra kvaliten i arbetet. IMY granskade särskilt om myndigheten uppfyllde de krav som GDPR ställer upp gällande säkerhet i samband med behandling (hantering av personuppgifter). Av artikel 32 i dataskyddsförordningen följer att ansvariga parter ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med hanteringen (behandlingen). Det ska ske med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang, ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. I skäl 75 i dataskyddsförordningen anges faktorer som ska beaktas vid bedömningen av risken för fysiska personers rättigheter och friheter. Bland annat nämns förlust av kon fidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt samt om behandlingen avser uppgifter om hälsa eller sexualliv. Vidare ska beaktas om behandlingen gäller personuppgifter om sårbara fysiska personer, framförallt barn, eller om behandlingen in begriper ett stort antal personuppgifter och gäller ett stort antal registrerade. IMY fastställde i sitt beslut att myndigheten skickat e-post innehållande känsliga personuppgifter. Över föringen av e-posten inom myndigheten var krypterad men inte informationen i e-posten. Föregående innebär att informationen inte var läsbar under själva överföringen dock var den läsbar efter överföringen. E-post ska närmast ses som ett vykort, öppet att läsas av många. Det är således viktigt att man när man arbetar med personuppgifter har rutiner som säkerställer att man har en kryptering som följer med över föringen men även att innehållet i sig är krypterat. Vad som är lämplig säkerhetsnivå varierar i förhållande till risk, behandlingens art, omfattning, sammanhang och ändamål. Särskild beaktning ska tas vid fall att uppgifterna rör känsliga personuppgifter (exempelvis hälsa, personnummer). Enligt IMY:s bedömning borde myndigheten ha vidtagit tekniska åtgärder, till exempel i form av kryptering, för att skydda informationen i de automatiserade och de manuella e-postmeddelandena mot obehörigt röjande eller obehörig åtkomst och därigenom säkerställa en lämplig skyddsnivå. Föregående mot bakgrund av att det finns en överhängande risk att automatiserad hantering kan brista vid en felaktig systemuppdatering samt att en manuell hantering bär risk av den männskliga faktorn då personen som skickar uppgifterna skulle kunna skriva en felaktig mottagaradress. Nu visade annons_norrkoping_affarsstaden_mars_2023.qxp_Layout 1 2023-03-26 07:58 Sida 1 CIRKULÄR RÅVARA TILLSAMMANS ÅTERVINNER VI FÖR FRAMTIDEN VI ERBJUDER KUNDSPECIFIKA HELHETSLÖSNINGAR VI KÖPER JÄRN OCH METALLER Kommendantvägen 10 011-36 58 00 norrkoping@skrotfrag.se www.skrotfrag.se 16 Elisabeth Wedenberg Advokat, LL.M. det sig att aktuell myndighet hade rutiner inom området men att de inte följdes. Det finns dock en skyldighet att tillse att rutinerna följs. Kostnaden för detta blev en administrativ sanktionsavgift om 300 000 SEK. I sammanhanget bör nämnas att översändande av e-post manuellt till fel mottagare ligger på en ohotad första plats för andra året i rad vad gäller inkomna anmälningar om personuppgifts incidenter, varpå IMY har gått ut med en uppmaning att man bör tillse att upprätta rutiner samt fortlöpande utbilda kring GDPR inom organisationen. ®