I förra veckan framförde IMY att myndighetens bedömning är att det i Sverige finns ett stort mörkertal när det kommer till personuppgiftsincidenter. Ekot, som hade granskat svenska banker, hade upptäckt att personuppgiftsincidenter som bestod av att hemsidebesökares telefonnummer och mejladresser läckt till Facebook inte alltid anmäldes till myndigheten i enlighet med GDPR.
I Fashion-ID-målet kom EU-domstolen fram till att det förelåg ett gemensamt personuppgiftsansvar mellan den webbutik som skickat uppgifter till Facebook och Facebook själv. Vid gemensamma personuppgiftsansvarförhållanden är det viktigt att tydliggöra vem som ansvarar för vad, exempelvis för att anmäla personuppgiftsincidenter.
Så sent som i slutet av juni publicerade IMY en rapport över personuppgiftsincidenter som anmälts till myndigheten under 2020. Av den framkom att den absolut vanligaste incidenten var felskickade mail och brev, vilka utgjorde ungefär 40 procent.
I mailen behandlar vi namn, e-postadresser, bilagor och konversationer om personer, och GDPR kräver att organisationer skyddar personuppgifter i alla dess former. Kanske måste e-posten skyddas med kryptering och andra säkerhetsåtgärder? Har ni tagit i beaktande för vilka specifika ändamål som personuppgifterna i e-posten behandlas? Vilka lagliga grunder stödjer sig behandlingen på? Och hur har ni begränsat lagringstiden och åtkomsten? Sist men inte minst något så enkelt som att e-posten är en behandling som ska ingå i ert behandlingsregister (registerförteckningen). Detta är aspekter ni kan jobba med för att på förhand förhindra eller mildra skadan vid en eventuell personuppgiftsincident.
När det kommer till andra typer av incidenter, såsom de aktuella “läckorna” till Facebook, så är det mest sannolikt kunskap om GDPR som är den största framgångsfaktorn. Att de av Ekot granskade bankerna gjort olika bedömningar ifråga om rapporteringsskyldigheten talar för det. Vår bedömning är att bestämmelserna om incidenter är betydligt mer lättillgängliga än de som rör de olika ansvarsförhållanden som ni kan ha gentemot andra organisationer vid den typen av samordnade behandlingar.
Vi kan hjälpa er med utbildning, kartläggning av era ansvarsförhållanden och att lägga upp en plan för både er mail- och incidenthantering.
IMY: Stort mörkertal av personuppgiftsläckor – Nyheter (Ekot) | Sveriges Radio
Undertecknad:
Sara Jansson, Paralegal
Liv Zettergren, Jurist
