Personuppgiftsincidenter och offentlighetsprincipen Peter Nordbeck Partner ngla Eklund

Personuppgiftsincidenter och offentlighetsprincipen Peter Nordbeck, Partner Ängla Eklund, Associate

Vad är en incident? • En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. • Tillräckliga tekniska och organisatoriska åtgärder. • Förebyggande och reaktivt • Skillnaden mellan säkerhetsincident och personuppgiftsincident 2 10/26/2021 Personuppgiftsincident

Olika typer av personuppgiftsincidenter • ” Konfidentialitetsincident" - obehörigt eller oavsiktligt offentliggörande av, eller tillgång till personuppgifter. • ”Riktighetsincident" - obehörig eller oavsiktlig ändring av personuppgifter. • "Tillgänglighetsincident" - oavsiktlig eller obehörig förlust av tillgång till, eller förlust av personuppgifter. • Ex. oavsiktlig eller avsiktlig radering av en obehörig person. • Virus • Jfr. planerat systemunderhåll 3 10/26/2021 Personuppgiftsincident

Informationskrav vid personuppgiftsincident • Informera om ”personuppgiftsincident” utan oskäligt dröjsmål • Informera tillsynsmyndigheten • Som huvudregel: Inom 72 timmar efter vetskap om intrånget • Informera varje registrerad individ • 4 • Om sannolikt leder till hög risk för enskildas rättigheter • Jfr. sjukhus kontra nyhetsbrev • Undantag, t. ex. om system finns för att bevisa att de ”förlorade” uppgifterna gjorts oläsbara för utomstående, t. ex. kryptering • Oproportionerlig ansträngning: Istället informera allmänheten Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident 10/26/2021 Personuppgiftsincident

När har den personuppgiftsansvarige vetskap om personuppgiftsincidenten? • “Reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised” • Beror på omständigheterna • Exempel: • Förlust av CD med okrypterad data: anmälan ska ske • En tredje part meddelar att man av misstag fått data från en kund till den personuppgiftsansvarige: anmälan ska ske • Om misstanke men inte vetskap: • Möjlighet att göra undersökning • Skyldighet att agera vid misstanke • Kort period 5 10/26/2021 Personuppgiftsincident

Relation till personuppgiftsbiträdet • Enligt GDPR ska personuppgiftsbiträdet informera den personuppgiftsansvarige utan onödigt dröjsmål • Artikel 29 -gruppen rekommenderar att underrättelse ska ske omedelbart efter fastställd incident • Personuppgiftsansvarig anses ha fått vetskap om incidenten efter att ha informerats av personuppgiftsbiträdet • Reglera i avtal • Personuppgiftsbiträdet kan bemyndigas att informera Datainspektionen för den personuppgiftsansvariges räkning 6 10/26/2021 Personuppgiftsincident

Anmälan efter 72 timmar • Skälen förseningen ska anges • Vid mera komplexa personuppgiftsincidenter kan informationen lämnas i omgångar • Möjlighet att ”samla ihop” flera incidenter till en anmälan • • 7 Om likheter mellan incidenterna Om det skett inom en begränsad period 10/26/2021 Personuppgiftsincident

Undantag från skyldigheten att informera Datainspektionen • Personuppgifterna är redan tillgängliga offentligt • Personuppgifterna är krypterade och krypteringsnyckeln är intakt • Men…… • om det inte finns någon backup av de krypterade personuppgifterna • eller om det finns backup men det tar tid att återställa datan • ……då kan personuppgiftsincidenten ändå behöva anmälas • Kvalitet och funktion på krypteringen 8 10/26/2021 Personuppgiftsincident

Om du omfattas av flera krav • Andra incidentrapporteringskrav till PTS, MSB, SÄPO, PSD 2 etc. • Som personuppgiftsansvarig • Som personuppgiftsbiträde • Anmälningsförfarandet 9 10/26/2021 Personuppgiftsincident

Incidentrapporternas offentlighet • Huvudregel är offentlighetsprincipen • Sekretessgrund genom OSL • Rakt skaderekvisit vs omvänt skaderekvisit • Incidentrapportering kan i praktiken innebära en upplysning om att ingivarens IT-system är sårbart för attacker • Allmänhetens berättigade intresse av insyn i tillsynsmyndighetens verksamhet • Uppgifter får inte röjas om det kan antas leda till skada 10 10/26/2021 Personuppgiftsincident

Sekretessgrunder • Sekretess 18 kap. 8 § 3 OSL • Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information. • Sekretess 32 kap. 1 § OSL • Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen […], för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. 11 10/26/2021 Personuppgiftsincident

Kammarrätten Mål nr 5200 -18 • Säkerhets- och bevakningsåtgärder • funktioner för användning av lösenord, loggning och kryptering, installation av brandväggar och antivirusprogram samt administrativa rutiner för t. ex. utdelning av lösenord eller bevakning av loggar och larm. • Uppgift om vilken typ och version av operativsystem som används om t. ex. en viss version av ett operativsystem har visat sig ha svagheter • Kammarrätten konstaterar att incidenten inte avser intrång eller brister i den personuppgiftsansvariges IT-system. • Anmälan innehåller inte heller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. 12 10/26/2021 Personuppgiftsincident

Slutsatser • Utgå ifrån att rapporten kommer vara offentlig • Säkerhetsrisker • Minskad rapporteringsvilja 13 10/26/2021 Personuppgiftsincident

Peter Nordbeck / Partner / Advokat Telefon: 0709 -25 25 01 peter. nordbeck@delphi. se Ängla Eklund / Associate Telefon: 076 – 772 00 18 angla. eklund@delphi. se Advokatfirman Delphi / Mäster Samuelsgatan 17, P. O Box 1432/ 111 84 Stockholm / Sweden Phone: + 46 (8)677 54 00 / Fax +46 (8)20 18 84/ delphi. se 14 10/26/2021 Personuppgiftsincident