Datainspektionen har utfärdat en sanktionsavgift mot Statens servicecenter på 200 000 SEK med anledning av försenade underrättelser om personuppgiftsincident.
Statens servicecenter (”SCC”) tillhandahåller lönehanteringssystem till flera myndigheter i Sverige. Under våren 2019 rapporterades en felaktighet i systemet från en av myndigheterna. Felaktigheten möjliggjorde för myndigheternas anställda att komma åt personuppgifter tillhörande anställda på andra myndigheter. SCC är personuppgiftsbiträde vid tillhandahållandet av lönehanteringssystemet till myndigheterna och personuppgiftsansvarig för systemet i förhållande till sin egen personal.
En personuppgiftsansvarig är skyldig att anmäla personuppgiftsincidenter till Datainspektionen inom 72 timmar efter vetskap om incidenten. Datainspektionen ansåg att SCC hade fått tillräcklig vetskap om incidenten redan vid rapporteringen om felaktigheten. Det dröjde därefter ca tre månader innan SCC anmälde incidenten i egenskap av personuppgiftsansvarig, vilket bedömdes vara för lång tidsperiod i förhållande till kravet i GDPR. Ett personuppgiftsbiträde är skyldigt att utan onödigt dröjsmål anmäla incidenter till personuppgiftsansvarig för att denne ska kunna vida de åtgärder som krävs med anledning av incidenten. SCC informerade de personuppgiftsansvariga först fem månader efter att incidenten hade upptäckts. Även detta utgjorde en försenad underrättelse och en överträdelse av biträdets skyldighet enligt GDPR.
Med hänsyn till antalet berörda individer (ca 280 000 st), förseningen att anmäla och informera om incidenten samt att personuppgifterna omfattade viss integritetskänslig information beslutade Datainspektionen om en sanktionsavgift på totalt 200 000 SEK. Av den totala summan bedömdes 150 000 SEK utgöra andelen för underlåtelsen att informera personuppgiftsansvariga i tid och 50 000 SEK för underlåtelsen att anmäla incidenten till Datainspektionen inom 72 timmar.
Datainspektionens beslut finns att läsa här.
Om ni vill veta mer om Datainspektionens beslut eller har andra frågor om dataskydd är ni välkomna att kontakta Alexander Berger, partner och ansvarig för Compliance på TIME DANOWSKY Advokatbyrå.
