Statens servicecenter i Sverige fick böter för rapportering av personuppgiftsincident försent. Med andra ord uppfyllde de inte kravet om att rapporteringen till tillsynsmyndigheten ska ske inom onödigt dröjsmål. När ett företag, organisation eller offentligt organ får veta om inträffad en personuppgiftsincident som ska bli rapporterad till den nationella tillsynsmyndigheten, ska det ske inom 72 timmar från och med vetskapen.
Böter för bland annat rapportering av personuppgiftsincident försent
Den svenska tillsynsmyndigheten, Integritetsskyddsmyndigheten, utfärdade sanktionsavgifter till Statens servicecenter. De fick böte för att de rapporterade personuppgiftsincidenter försent, vilket strider mot bestämmelserna i GDPR. Dessutom konstaterade tillsynsmyndigheten att Statens servicecenter saknade information om väsentliga omständigheter i dokumenationen av personuppgiftsincidenten. Detta är också något som strider mot GDPR. Statens servicecenter saknade även dokumenterad information om vilka korrigerande åtgärder de vidtagit, vilket är ett krav enligt GDPR.
Integritetsskyddsmyndigheten konstaterade även att det inte fanns något personuppgiftsbiträdesavtal vid tillfället som inspektionen blev utförd. Däremot åtgärdade Statens servicecenter detta, som både är personuppgiftsansvariga och personuppgiftsbiträden vid olika behandlingar. I och med att Statens servicecenter åtgärdade problemet direkt, fick de ingen korrigerande åtgärd med anledning av denna brist.
Konsekvens för överträdelsen
Statens servicecenter fick betala 150 000 kr i sanktionsavgift på grund av att de inte informerat om incidenten till de personuppgiftsansvariga myndigheterna utan onödigt dröjsmål. Dessutom fick de betala ytterligare 50 000 kr i sanktionsavgift för att de inte anmälde incidenten i tid till Integritetsskyddsmyndigheten utan onödigt dröjsmål.
Det maximala beloppet som en statlig myndighet kan få i sanktionsavgift är 10 000 000 kr. Till skillnad från företag som kan få betala upp till 20 miljoner eller 4 % av årsomsättningen vid allvarliga överträdelser.
Dataskyddsmyndigheten beslutade även att Statens servicecenter skulle:
– Upprätta rutiner för dokumentationen av personuppgiftsincidenter, för att kunna visa att de följer GDPR till dataskyddsmyndigheten. Rutinerna ska vara anpassade efter och följa följande krav som framgår av GDPR: Dokumentation av personuppgiftsincidenter, beskrivning av omständigheterna, konsekvenserna och vilka korrigerande åtgärder som den personuppgiftsansvarige har vidtagit.
– Se till att medarbetarna följer rutinerna genom att införa löpande kontroller.
