Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 870 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår företaget haft av en säkerhetsbrist på sin webbplats som medförde risk för obehörig åtkomst till personuppgifter. Trots att företaget, i egenskap av personuppgiftsansvarig, hade kännedom om incidenten under den relevanta tiden gjordes ingen anmälan till DSB inom den föreskrivna fristen, dvs. utan onödigt dröjsmål och senast inom 72 timmar. Att tillsynsmyndigheten informerades genom en tredje part, med företaget i kopia, befriade inte företaget från den egna anmälningsskyldigheten enligt artikel 33 GDPR.
DSB konstaterade att undantaget i artikel 33.1 GDPR, enligt vilket anmälan inte krävs, endast är tillämpligt när en personuppgiftsincident inte medför någon risk för de registrerades rättigheter och friheter. Eftersom detta villkor inte var uppfyllt i det aktuella fallet konstaterade DSB att företaget, genom att underlåta att anmäla incidenten, hade överträtt artikel 33.1 GDPR.
TechLaw tillhandahåller ledande juridisk rådgivning inom dataskydd och integritet för privata företag och offentliga verksamheter. Vi bistår med hantering av personuppgiftsincidenter, konsekvensbedömningar, riskbedömningar, åtgärder för regelefterlevnad och tillsynsärenden. Kontakta oss gärna för vidare rådgivning.