Information om GDPR
Företag ska förebygga personuppgiftsincidenter
Företag ska förebygga personuppgiftsincidenter genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. En personuppgiftsincident föreligger när personuppgifter blir exempelvis raderade eller ändrade oavsiktligt. Detsamma gäller när någon obehörig får tillgång till personuppgifter.
Personuppgiftsincidenter kan få stora konsekvenser för registrerade
I vissa fall kan personuppgiftsincidenter få stora förödande konsekvenser för registrerade. Till exempel kan en personuppgiftsincident leda till:
- Identitetsstöld.
- Bedrägeri.
- Diskriminering.
Företag ska förebygga personuppgiftsincidenter enligt GDPR
Det finns flera saker som företag kan göra för att förebygga personuppgiftsincidenter. Dessutom är det viktigt att agera så snabbt som möjligt om det inträffar, eftersom det kan minimera konsekvenserna. Därför är det bra att skapa en god säkerhetskultur inom företagets verksamhet.
Här är några exempel på vad företag kan göra för att förebygga personuppgiftsincidenter:
Rutiner
Det är viktigt att upptäcka personuppgiftsincidenter så snabbt som möjligt. Därför är det bra att skapa skriftliga interna rutiner för medarbetare som är tydliga för hur de ska kunna göra det. Exempelvis genom regelbundna kontroller av åtkomstbehörigheter, tester av sårbarheter i digitala system etc.
Handlingsplan
Företaget bör förbereda sig innan en personuppgiftsincident inträffar på vad medarbetarna ska göra om det inträffar. På så sätt kan de agera snabbare. Handlingsplanen kan även kompletteras av en checklista. Sådant underlag underlättar processen och hanteringen av inträffad personuppgiftsincident, samtliga som det säkerställer ett korrekt agerande enligt GDPR.
Dokumentation
Det är viktigt att dokumentera alla personuppgiftsincidenter, eftersom det är ett krav enligt GDPR. Det gäller även personuppgiftsincienter som inte behöver bli anmälda till den ansvariga dataskyddsmyndigheten eller registrerade. Därför är det viktigt att företaget ser till att ta fram underlaget som behövs för dokumentation av en personuppgiftsincident. Exempelvis en loggbok och tillhörande checklista.
Den Europeiska dataskyddsstyrelsen (EDPB) har publicerat riktlinjer med exempel på anmälan av personuppgiftsincidenter. Där beskriver de olika personuppgiftsincidenter och går igenom dess tänkbara effekter. Riktlinjerna är till god hjälp för att förstå de analyser som behöver göras vid en inträffad personuppgiftsincident. (Se här)
Europeiska dataskyddsstyrelsens bindande beslut gällande personuppgiftsincident
Den Irländska dataskyddsmyndigheten utförde, tillsammans med flera andra dataskyddsmyndigheter i EU, en tillsyn mot ett stort företag efter att de anmälde en personuppgiftsincident. Däremot var dataskyddsmyndigheterna som deltog från de andra EU-länderna inte överens om beslutet som den Irländska dataskyddsmyndigheten föreslagit. Därför hänvisade de till dataskyddsstyrelsens tvistlösningsförfarande.
Personuppgiftsincidenten handlade om att inlägg från nästan 90 000 användare hade blivit offentliga på grunda av programmeringsfel. Den Europeiska dataskyddsstyrelsen uppmärksammade bland annat att de registrerade ville begränsa läsarkretsen genom att ha sina inlägg privata. Konsekvensen för företaget blev en sanktionsavgift på 450 000 euro, som den Irländska dataskyddsmyndigheten utfärdade.
EU-domstolens ställning till skadestånd vid personuppgiftsincidenter Enligt EU-domstolen kan registrerade som har fått sina personuppgifter läckta ha rätt till skadestånd,
Enligt EU-domstolen kan registrerade som har fått sina personuppgifter läckta ha rätt till skadestånd, om det finns en befogad fruktan att de kommer bli missbrukade i framtiden. EU-domstolen hade fått in en begäran om ett förhandsavgörande från Högsta förvaltningsdomstolen i Bulgarien, efter att ett flertal personer stämde den Bulgariska skattemyndigheten. Deras personuppgifter hade läckt och de krävde därför skadestånd. EU-domstolen konstaterade att de registrerade kan ha rätt till skadestånd. Däremot är detta ingenting som en ansvarig dataskyddsmyndighet yrkar, utan något som de registrerade får kräva själva, eventuellt genom att väcka talan mot skattemyndigheten i domstol. Observera att skadestånd och sanktionsavgift inte är samma sak.
Mer information om Personuppgiftsincidenter
Informera registrerade och den nationella dataskyddsmyndigheten vid personuppgiftsincidenter
I vissa fall måste företag som upptäcker en personuppgiftsincident informera de registrerade som berörs av den. Dessutom behöver företag anmäla personuppgiftsincidenten till den nationella dataskyddsmyndigheten, eller den ansvariga dataskyddsmyndigheten i vissa fall. Oavsett om företaget behöver informera de registrerade eller dataskyddsmyndigheten, måste personuppgiftsincidenten alltid dokumenteras av företaget. Observera att tidsfristen för att anmäla en personuppgiftsincident är 72 timmar från och med upptäckten.