Under sommaren och hösten 2021 inledde Datatilsynet skriftliga tillsynsärenden av åtta större kommuners och åtta större bankers hantering av personuppgiftsincidenter. Tillsynen organiserades på så sätt att kommunerna och bankerna delades in i två grupper, de som rapporterat flest respektive minst överträdelser i förhållande till kommunens invånarantal respektive antalet anställda i banken.
Ett av kraven i dataskyddsförordningen (GDPR) är att personuppgiftsansvariga måste rapportera alla personuppgiftsincidenter till Datatilsynet inom 72 timmar, och de måste internt dokumentera alla personuppgiftsincidenter, oavsett om de rapporteras till Datatilsynet eller inte.
Kravet innebär att personuppgiftsansvariga behövt införa nya eller ytterligare säkerhetsåtgärder för att minska risken för ytterligare intrång. Mot denna bakgrund har Datatilsynet tittat på rutinerna och tagit några stickprov. Slutsatsen är enligt Datatilsynet att de 16 utvalda kommunerna och bankerna verkar ha rätt fokus på regelefterlevnad.
För gruppen med flest rapporterade överträdelser fokuserade Datatilsynet bland annat på om kommunerna och bankerna hade vidtagit lämpliga säkerhetsåtgärder för att minska antalet personuppgiftsincidenter där obehörigt röjande av personuppgifter hade skett i samband med överföring av information till medborgare, myndigheter etc., inklusive i förhållande till medborgare med namn- och adressskydd och finansiell information. Datatilsynet konstaterade att alla personuppgiftsansvariga vidtagit lämpliga säkerhetsåtgärder.
För gruppen med minst antal anmälda överträdelser fokuserade Datatilsynet på huruvida kommunerna och bankerna anmält och dokumenterat personuppgiftsincidenter i enlighet med kraven i GDPR, inklusive deras processer för hantering och registrering av personuppgiftsincidenter. Datatilsynet konstaterade att alla personuppgiftsansvariga i allmänhet implementerat lämpliga förfaranden och riktlinjer etc. och har genomfört lämpliga utbildningsaktiviteter som kan stödja efterlevnaden av kraven i GDPR om anmälan av personuppgiftsincidenter. På så sätt kan de säkerställa att personuppgiftsincidenter upptäcks i organisationen så att de kan bedömas med avseende på om incidenten ska rapporteras till Datatilsynet, och dokumentation av incidenterna kan göras, inklusive skälen till att inte rapportera dem till Datatilsynet.
Datatilsynet noterade dock i samband med alla granskningar att myndigheten inte haft möjlighet att specifikt bedöma om alla relevanta anställda har slutfört de aktuella utbildningsaktiviteterna och att Datatilsynet inte känner till det fullständiga innehållet i utbildningsmaterialet, inklusive innehållet i till exempel pågående medvetenhetsprogram.
Vidare anförde Datatilsynet att regeln om att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet de faktiska omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits, bland annat ska säkerställa att Datatilsynet kan kontrollera efterlevnaden av bestämmelsen om anmälan av personuppgiftsincidenter. Därför bör personuppgiftsansvariga enligt Datatilsynet dokumentera sina motiveringar för alla viktiga beslut som fattats till följd av incidenten. Detta gäller inte minst om den personuppgiftsansvarige, efter att ha bedömt incidenten, har beslutat att den inte ska anmälas till Datatilsynet. I samband med detta beslut bör dokumentationen innehålla en detaljerad förklaring av varför den personuppgiftsansvarige anser att överträdelsen sannolikt inte kommer att leda till en risk för fysiska personers rättigheter och friheter.
Datatilsynet har dock funnit anledning att kritisera två av ärendena, och kritiken gäller det faktum att två kommuner inte dokumenterat alla personuppgiftsincidenter.
I det ena fallet har Datatilsynet uttryckt allvarlig kritik mot att Roskilde kommun inte har dokumenterat hur många personuppgiftsincidenter kommunen har identifierat under perioden från den 25 maj 2018 till september 2019, och att kommunen inte kan dokumentera om de säkerhetsincidenter som har registrerats sedan september 2019 utgör faktiska personuppgiftsincidenter.
I det andra fallet har Datatilsynet kritiserat Frederikshavns kommun för att inte ha dokumenterat hur många personuppgiftsincidenter som kommunen har identifierat under 2018.
Datatilsynet konstaterar att förteckningen över överträdelser, utöver att tjäna som dokumentation till Datatilsynet, också bör användas av den personuppgiftsansvarige för att bland annat få en överblick över vilka överträdelser som typiskt sett inträffar i organisationen och, på grundval av detta, överväga om det, baserat på en riskbedömning, finns ett behov av att genomföra nya eller ytterligare åtgärder för att undvika eller minska risken för ytterligare överträdelser. Det framgår också av de samrådssvar som mottagits att flera av de personuppgiftsansvariga aktivt använder förteckningarna för detta ändamål.
Läs besluten:
- Hjørring Kommune
- Roskilde Kommune
- Sønderborg Kommune
- Frederikshavn Kommune
- Kalundborg Kommune
- Guldborgsund Kommune
- Hedensted Kommune
- Ringkøbing-Skjern Kommune
- Lån & Spar Bank A/S
- Sydbank A/S
- Spar Nord Bank A/S
- Nykredit Bank A/S
- Jyske Bank A/S
- Saxo Bank A/S
- Vestjysk Bank A/S
- Danske Andelskassers Bank A/S