CVn

Qnisters dataskyddsspecialist kommenterar Statens servicecenters personuppgiftsincident

Återigen kommer personuppgiftsincidenter upp på dagordningen. Detta i och med att Datainspektionen ger Statens servicecenter 200 000 kronor i sanktionsavgift.

Böterna grundar sig på att en personuppgiftsincident inte har anmälts till inspektionen, och att servicecentret inte heller har informerat de personuppgiftsansvariga, för vilka de behandlat personuppgifter som biträde, om incidenten. 

Servicecentret har även brustit i dokumentationen eftersom den inte har kunnat användas av Datainspektionen för att kontrollera efterlevnaden av GDPR. För den bristen föreläggs servicecentret att upprätta rutiner för hantering av personuppgifter som gör det möjligt för Datainspektionen att kontrollera att personuppgiftsincidenter hanteras enligt GDPR. 

Personuppgiftsbiträde via lönehanteringssystem

Bakgrunden är att servicecentret har agerat personuppgiftsbiträde gentemot 47 personuppgiftsansvariga statliga myndigheter som, genom anslutningen till servicecentret, använder ett lönehanteringssystem för hantering av personuppgifter om sin personal. 

Samtidigt har servicecentret också agerat personuppgiftsansvarig då de hanterat löneuppgifter för sin egen personal i samma system. 

Qnisters dataskyddsspecialist Niclas kommenterar

Återigen kommer personuppgiftsincidenter upp på dagordningen. Det är en viktig del i det förebyggande arbetet att hela organisationen vet vad en personuppgiftsincident är och att anställa kan identifiera tecken på en sådan, säger Niclas Nordström, Dataskyddsspecialist på Qnister.

När sedan en incident misstänks ha skett, eller har upptäckts, är det viktigt att det finns en tydlig ordning hur incidenten ska hanteras i organisationen och vem eller vilka som ska ta hand om den. 

För att kunna leva upp till att anmäla en incident inom 72 timmar måste rutiner och struktur finnas på plats, oavsett om man är personuppgiftsansvarig eller –biträde för uppgifterna ifråga. 

Givetvis ska ni dokumentera omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Här kan det vara extra viktigt att dokumentera sina ställningstaganden som gör det möjligt för Datainspektionen att kontrollera att ni har gjort det som krävs; varför man exempelvis inte anmäler en incident till tillsynsmyndigheten eller varför man väljer att inte informerar de registrerade, kommenterar Niclas vidare. 

Läs mer om sanktionsavgiften mot Statens Servicecenter på Datainspektionen.se