Skip to content

Personuppgifter på vift – Vad är ditt ansvar?

Då och då händer det att ett företag förlorar kontrollen över sina kunders personuppgifter. Det är naturligtvis inte bra och får konsekvenser. I denna artikel förklarar advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrands Advokatbyrå vad en personuppgiftsincident är och vad du måste göra när en sådan har inträffat. Läs och lär!

Erik Ullberg
15 oktober 2019

Med jäm­na mel­lan­rum upp­da­gas hän­del­ser där före­tag för­lo­rat kon­troll över sin kundin­for­ma­tion. Till exem­pel upp­da­ga­des 2018 att British Airways bli­vit utsatt för skad­lig kod som led­de till att per­son­upp­gif­ter från 380 000 kun­der läck­te ut. Senare sam­ma år upp­täck­tes att hotell­ked­jan Marriott expo­ne­rat kund­upp­gif­ter om ca 339 mil­jo­ner gäs­ter.

De båda exemp­len visar att missö­den av det­ta slag inte helt säl­lan inträf­far.

Vad är en personuppgiftsincident?

Till att bör­ja med så är en per­son­upp­gift all slags infor­ma­tion som kan kny­tas till en levan­de per­son. Det kan röra sig om exem­pel­vis namn, adress, foto och per­son­num­mer. En per­son­upp­gifts­in­ci­dent kan inträf­fa om per­son­upp­gif­ter om regi­stre­ra­de per­so­ner bli­vit för­stör­da, gått för­lo­ra­de eller på annat sätt ham­nat i orät­ta hän­der.

Olika rapporteringsskyldigheter gäller

Beroende på vil­ket regel­verk som gäl­ler för din orga­ni­sa­tion ska per­son­upp­gifts­in­ci­den­ter rap­por­te­ras till oli­ka till­syns­an­sva­ri­ga. För före­tag som arbe­tar med mark­nads­fö­ring tor­de rap­por­te­rings­skyl­dig­he­ten enligt Dataskyddsförordningen vara det van­li­gas­te.

För en del orga­ni­sa­tio­ner kan rap­por­te­rings­skyl­dig­het även föl­ja av brotts­da­ta­la­gen eller enligt lagen om elektro­nisk kom­mu­ni­ka­tion. Fortsättningsvis foku­se­rar vi emel­ler­tid på kra­ven enligt GDPR.

Rapportering till Datainspektionen

Om det har inträf­fat en per­son­upp­gifts­in­ci­dent ska det­ta anmä­las skynd­samt till Datainspektionen inom 72 tim­mar. Det finns dock ett undan­tag från kra­vet att rap­por­te­ra om det bedö­mas osan­no­likt att inci­den­ten med­för en risk för fysis­ka per­so­ners rät­tig­he­ter och fri­he­ter.

Om en anmä­lan ska ske, och den­na inte görs inom 72 tim­mar, så mås­te för­se­ning­en moti­ve­ras för till­syns­myn­dig­he­ten. Det bör även näm­nas att det idag är van­ligt att per­son­upp­gifts­bi­trä­den, t.ex. ett tele­mar­ke­ting­fö­re­tag anli­tat av den per­son­upp­gifts­an­sva­ri­ge, han­te­rar per­son­upp­gif­ter och i såda­na fall ska den­ne skynd­samt under­rät­ta den per­son­upp­gifts­an­sva­ri­ge om en inci­dent inträf­fat.

Så gör du en incidentanmälan

En inci­den­tan­mä­lan ska inne­hål­la viss infor­ma­tion så som per­son­upp­gifts­in­ci­den­tens art, det unge­fär­li­ga anta­let regi­stre­ra­de som berörs, en beskriv­ning av de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten, och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git eller före­sla­git för att åtgär­da eller mild­ra per­son­upp­gifts­in­ci­den­ten.

Här är det även av vikt att påpe­ka att det är vik­tigt att den per­son­upp­gifts­an­sva­ri­ge för en struk­tu­re­rad doku­men­ta­tion över omstän­dig­he­ter­na kring per­son­upp­gifts­in­ci­den­ten, och vil­ka åtgär­der och beslut som har vid­ta­gits.

Själva anmä­lan av en per­son­upp­gifts­in­ci­dent sker genom en blan­kett som skic­kas till Datainspektionen. Det kan även vara värt att näm­na att blan­ket­ten och dess inne­håll blir en all­män hand­ling. Ett utläm­nan­de prö­vas dock först av till­syns­myn­dig­he­ten och kan begrän­sas av sek­re­tess.

Rapportering till de drabbade registrerade

I vis­sa situ­a­tio­ner mås­te även de drab­ba­de regi­stre­ra­de per­so­ner­na infor­me­ras av den per­son­upp­gifts­an­sva­ri­ge om att inci­den­ten har inträf­fat. Om det bedöms att inci­den­ten san­no­likt lett till en hög risk för fysis­ka per­so­ners rät­tig­he­ter och fri­he­ter ska den per­son­upp­gifts­an­sva­ri­ge skynd­samt infor­me­ra den regi­stre­ra­de om per­son­upp­gifts­in­ci­den­ten.

De drab­ba­de ska då erhål­la infor­ma­tion om per­son­upp­gifts­in­ci­den­tens art och kon­takt­upp­gif­ter där mer infor­ma­tion kan erhål­las, t.ex. till data­skydds­om­bu­det om det finns en sådan utsedd vid före­ta­get. Dessutom ska de drab­ba­de infor­me­ras om de san­no­li­ka kon­se­kven­ser­na av per­son­upp­gifts­in­ci­den­ten och de åtgär­der som den per­son­upp­gifts­an­sva­ri­ge har vid­ta­git för att mild­ra even­tu­el­la nega­ti­va effek­ter.

Undantag finns

Det finns dock undan­tag från att infor­me­ra de drab­ba­de. Det skul­le kun­na vara fal­let om den per­son­upp­gifts­an­sva­ri­ge exem­pel­vis har vid­ta­git tek­nis­ka skydds­åt­gär­der, så som kryp­te­ring, vil­ka gjort upp­gif­ter­na oläs­ba­ra för utom­stå­en­de. Det finns även ett undan­tag från att direkt infor­me­ra de drab­ba­de om det skul­le inbe­gri­pa en opro­por­tio­nell ansträng­ning. I såda­na fall kan en rik­tad infor­ma­tion till all­män­he­ten vara god­tag­bar.
Tillsynsmyndigheterna har dock rätt att omprö­va den per­son­upp­gifts­an­sva­ri­ges beslut att inte infor­me­ra de drab­ba­de och åläg­ga den­ne att göra det­ta.

Avslutande kommentarer

Eftersom nät­brotts­lig­he­ten stän­digt utveck­las och tek­ni­ken, trots alla ansträng­ning­ar att täp­pa till luc­kor i dess funk­tio­na­li­tet, ibland bris­ter så är det garan­te­rat inte sista gång­en som per­son­upp­gif­ter kom­mer på vift på lik­nan­de sätt som nämnts ovan.

Därför bör det lig­ga i var­je seri­ös aktörs intres­se att för­be­re­da sig för om det värs­ta skul­le hän­da. Främst för att mini­me­ra even­tu­el­la kon­se­kven­ser­na för de drab­ba­de och und­vi­ka att ska­da före­ta­gets för­tro­en­de, men även i syf­te att und­vi­ka ris­ken att till­dö­mas sank­tions­av­gif­ter av Datainspektionen.

Det inne­bär att det är lämp­ligt att man som före­ta­ga­re i sam­band med en genom­gång av sitt arbe­te med behand­ling av per­son­upp­gif­ter age­rar pro­ak­tivt och upp­rät­tar ruti­ner för att upp­täc­ka per­son­upp­gifts­in­ci­den­ter – samt har en plan för hur per­son­upp­gifts­in­ci­den­ter ska han­te­ras. På så vis ökar för­må­gan att age­ra i rätt tid och på rätt sätt om olyc­kan skul­le vara fram­me.

Dela artikeln om du gillade den!

Förslag på mer läsning

Så får du kontroll på arbetsflödet i din content marketing – del 2

Spar på tid och kraf­ter – effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting! Lars Wirtén och Jörgen Olsson – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar i Kntnt Magasin. Detta är en and­ra. Trevlig läs­ning!

Läs artikel »

Vad är artificiell intelligens?

Funderar du på vad AI är och hur du skall för­hål­la dig till den revo­lu­tion inom områ­det som vi med säker­het bara sett bör­jan på? Detta är något som vår krö­ni­kör Martin Modigh Karlsson ägnar myc­ket tan­ke­mö­da. Läs hans intres­san­ta ana­lys i dagens arti­kel.

Läs artikel »

Så får du koll på arbetsflödet i din content marketing – del 1

Effektivisera arbets­flö­det i din con­tent mar­ke­ting. Det finns fle­ra anled­ning­ar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar. Den förs­ta hit­tar du här!

Läs artikel »

Så SEO-optimerar du webbplatsen för röstsök

2020 kom­mer 50% av alla sök­ning­ar ske med rös­ten visar stu­die och Googles ”voice search”-tjänst väx­er så det kna­kar. Detta gör att du bör SEO-opti­me­ra din webb­plats för röst­sök­ning­ar redan nu. I dagens gäst­krö­ni­ka för­kla­rar Alexandra Jung hur du gör!

Läs artikel »

Inbound marketing sneglar mot content marketing

I den­na gäst­krö­ni­ka reflek­te­rar Niloo Lopez över vart inbound mar­ke­ting är på väg efter att ha besökt mega­kon­fe­ren­sen Inbound 2019.

Läs artikel »

Överraskande slutsats från INBOUND 2019

Kntnt Radio är till­ba­ka! I avsnitt 209 dis­ku­te­rar Pia Tegborg, Thomas Barregren och Niloo Loopez uti­från Niloos ”take aways” från 2019 års upp­la­ga av mega­kon­fe­ren­sen INBOUND. Samtalet lan­dar i en ovän­tad kon­klu­sion. Pia och Thomas ger ock­så en för­kla­ring till den lång­va­ri­ga tyst­na­den. Efter 208 avsnitt under näs­tan lika många vec­kor blev det helt plöts­ligt tyst. Vad hän­de?

Läs artikel »

Därför är redaktörens roll så viktig

Digitala platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Därför är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wirtén och Jörgen Olsson.

Läs artikel »

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »
vulputate, nec vel, ut adipiscing felis commodo risus. dictum efficitur.

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest