Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 5 900 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ett företag, som bedriver hotellverksamhet, lämnat in en anmälan om personuppgiftsincident till DSB via e-post i enlighet med artikel 33 GDPR. I samband med denna anmälan informerade företaget DSB om att en ransomware-attack av okända personer ägt rum den 6 mars 2023 och att data krypterades som ett resultat. Enligt företaget var 55 anställda föremål för denna attack och att information, såsom deras lönehandlingar, påverkats. Företaget förklarade vidare att de vidtagit åtgärder för att avhjälpa dataintrånget genom att koppla bort hela nätverket från internet och återinstallerat och säkrat systemen. När det gäller de åtgärder som vidtagits för att mildra de eventuella negativa effekterna uppgav företaget att krypterade hårddiskarna i systemet raderats på ett säkert sätt.
Som svar på denna rapport inledde DSB ett förfarande och begärde kompletterande information från företaget, som svarade med en oklar förklaring. DSB begärde därför ett förtydligande, vilket företaget svarade på den 27 april 2023 med ett tomt e-postmeddelande som direkt bifogade sitt tidigare uttalande. Efter detta svar inledde DSB ett administrativt sanktionsförfarande mot företaget och begärde att de skulle motivera sig. Företaget lämnade inte in något yttrande.
DSB konstaterade att den ransomware-attack som rapporterats av företaget och den efterföljande krypteringen av it-infrastrukturen av en okänd angripare utgjorde en personuppgiftsincident i den mening som avses i artikel 4.12 GDPR. Företaget var därför skyldig att omedelbart rapportera incidenten i fråga till DSB och, inom 72 timmar efter att ha blivit medveten om incidenten, tillhandahålla den obligatoriska informationen i enlighet med artikel 33.3 GDPR. I detta avseende noterade DSB att företaget inte uppfyllde sin skyldighet enligt artikel 33.1 GDPR eftersom de inte inom 72 timmar anmälde incidenten i fråga till DSB, utan över en månad senare.
Vidare uppgav DSB att företagets anmälan inte innehöll den information som krävs enligt artikel 33.3 GDPR. I synnerhet saknades en beskrivning av personuppgiftsincidentens art, kategorierna och det ungefärliga antalet berörda registrerade, de berörda kategorierna och det ungefärliga antalet berörda personuppgiftsregister. Till en början uppgav den personuppgiftsansvarige i sin rapport att endast 55 anställda drabbats. DSB noterade dock att i företaget kompletterande redogörelse nämnde även gäster som kategorier av berörda personer. Dessutom saknades en beskrivning av de åtgärder som företaget vidtagit eller föreslagit för att avhjälpa överträdelsen, samt åtgärder för att mildra dess eventuella negativa effekter i enlighet med artikel 33.3 (d) GDPR. Det angavs att hela nätverket skulle omorganiseras och säkras utan närmare precisering.
DSB noterade att företaget begränsat sig till allmän information för att tillfredsställa sitt försäkringsbolag och få ersättning för skadan, och att de inte var intresserade av att tillhandahålla DSB en fullständig rapport för bedömning av incidenten. Vidare noterade DSB att företaget inte utförde en riskbedömning för de registrerades rättigheter och friheter som påverkades av incidenten för att bedöma om de skulle underrättas i enlighet med artikel 34 GDPR. Sammantaget drog DSB slutsatsen att det var uppenbart att företaget inte följt artikel 33.1 och 33.3 GDPR.
Slutligen, eftersom företaget svarade på den första begäran om ett kompletterande uttalande med en obegriplig förklaring och på den andra begäran endast hänvisade till det tidigare uttalandet, fastställde DSB att företaget inte samarbetade med DSB och därmed brutit mot artikel 31 GDPR.