Då och då händer det att ett företag förlorar kontrollen över sina kunders personuppgifter. Det är naturligtvis inte bra och får konsekvenser.

Med jämna mellanrum uppdagas händelser där företag förlorat kontroll över sin kundinformation. Till exempel uppdagades 2018 att British Airways blivit utsatt för skadlig kod som ledde till att personuppgifter från 380 000 kunder läckte ut. Senare samma år upptäcktes att hotellkedjan Marriott exponerat kunduppgifter om ca 339 miljoner gäster.

De båda exemplen visar att missöden av detta slag inte helt sällan inträffar.

Vad är en personuppgiftsincident?

Till att börja med så är en personuppgift all slags information som kan knytas till en levande person. Det kan röra sig om exempelvis namn, adress, foto och personnummer. En personuppgiftsincident kan inträffa om personuppgifter om registrerade personer blivit förstörda, gått förlorade eller på annat sätt hamnat i orätta händer.

Olika rapporteringsskyldigheter gäller

Beroende på vilket regelverk som gäller för din organisation ska personuppgiftsincidenter rapporteras till olika tillsynsansvariga. För företag som arbetar med marknadsföring torde rapporteringsskyldigheten enligt Dataskyddsförordningen vara det vanligaste.

För en del organisationer kan rapporteringsskyldighet även följa av brottsdatalagen eller enligt lagen om elektronisk kommunikation. Fortsättningsvis fokuserar vi emellertid på kraven enligt GDPR.

Rapportering till Datainspektionen

Om det har inträffat en personuppgiftsincident ska detta anmälas skyndsamt till Datainspektionen inom 72 timmar. Det finns dock ett undantag från kravet att rapportera om det bedömas osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter.

Om en anmälan ska ske, och denna inte görs inom 72 timmar, så måste förseningen motiveras för tillsynsmyndigheten. Det bör även nämnas att det idag är vanligt att personuppgiftsbiträden, t.ex. ett telemarketingföretag anlitat av den personuppgiftsansvarige, hanterar personuppgifter och i sådana fall ska denne skyndsamt underrätta den personuppgiftsansvarige om en incident inträffat.

Så gör du en incidentanmälan

En incidentanmälan ska innehålla viss information så som personuppgiftsincidentens art, det ungefärliga antalet registrerade som berörs, en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda eller mildra personuppgiftsincidenten.

Här är det även av vikt att påpeka att det är viktigt att den personuppgiftsansvarige för en strukturerad dokumentation över omständigheterna kring personuppgiftsincidenten, och vilka åtgärder och beslut som har vidtagits.

Själva anmälan av en personuppgiftsincident sker genom en blankett som skickas till Datainspektionen. Det kan även vara värt att nämna att blanketten och dess innehåll blir en allmän handling. Ett utlämnande prövas dock först av tillsynsmyndigheten och kan begränsas av sekretess.

Rapportering till de drabbade registrerade

I vissa situationer måste även de drabbade registrerade personerna informeras av den personuppgiftsansvarige om att incidenten har inträffat. Om det bedöms att incidenten sannolikt lett till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige skyndsamt informera den registrerade om personuppgiftsincidenten.

De drabbade ska då erhålla information om personuppgiftsincidentens art och kontaktuppgifter där mer information kan erhållas, t.ex. till dataskyddsombudet om det finns en sådan utsedd vid företaget. Dessutom ska de drabbade informeras om de sannolika konsekvenserna av personuppgiftsincidenten och de åtgärder som den personuppgiftsansvarige har vidtagit för att mildra eventuella negativa effekter.

Undantag finns

Det finns dock undantag från att informera de drabbade. Det skulle kunna vara fallet om den personuppgiftsansvarige exempelvis har vidtagit tekniska skyddsåtgärder, så som kryptering, vilka gjort uppgifterna oläsbara för utomstående. Det finns även ett undantag från att direkt informera de drabbade om det skulle inbegripa en oproportionell ansträngning. I sådana fall kan en riktad information till allmänheten vara godtagbar.
Tillsynsmyndigheterna har dock rätt att ompröva den personuppgiftsansvariges beslut att inte informera de drabbade och ålägga denne att göra detta.

Avslutande kommentarer

Eftersom nätbrottsligheten ständigt utvecklas och tekniken, trots alla ansträngningar att täppa till luckor i dess funktionalitet, ibland brister så är det garanterat inte sista gången som personuppgifter kommer på vift på liknande sätt som nämnts ovan.

Därför bör det ligga i varje seriös aktörs intresse att förbereda sig för om det värsta skulle hända. Främst för att minimera eventuella konsekvenserna för de drabbade och undvika att skada företagets förtroende, men även i syfte att undvika risken att tilldömas sanktionsavgifter av Datainspektionen.

Det innebär att det är lämpligt att man som företagare i samband med en genomgång av sitt arbete med behandling av personuppgifter agerar proaktivt och upprättar rutiner för att upptäcka personuppgiftsincidenter – samt har en plan för hur personuppgiftsincidenter ska hanteras. På så vis ökar förmågan att agera i rätt tid och på rätt sätt om olyckan skulle vara framme.