Åtgärder vid personuppgiftsincidenter

 

Vad är en personuppgiftsincident?

Med personuppgiftsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.[1]

Personuppgiftsincidenter kan medföra risker såväl för uppgifternas konfidentialitet och korrekthet som för deras tillgänglighet.[2] Även om personuppgiftsincidenter kan avse externa attacker täcker definitionen också situationer där den personuppgiftsansvarige eller en person som arbetar för den personuppgiftsansvariges företrädare bryter mot datasäkerhetsprinciperna. En personuppgiftsincident kan orsakas av ett sabotageprogram, ett dataintrång eller ett dataläckage men också till exempel av ett borttappat usb-minne som innehåller personuppgifter, en bortglömd krypteringsnyckel för krypterade uppgifter eller av att handlingar i pappersform hamnar i en öppen sopcontainer.

Datasäkerhet handlar i grund och botten om att så långt som möjligt försöka förhindra personuppgiftsincidenter, och att vara beredd på att reagera utan dröjsmål om en incident trots försiktighetsåtgärderna inträffar.[3] Den personuppgiftsansvarige ansvarar för att lämpliga tekniska skyddsåtgärder och organisatoriska åtgärder vidtas för att garantera en säker behandling av personuppgifter. Den personuppgiftsansvarige ska dessutom omedelbart kunna fastställa om en personuppgiftsincident har ägt rum.[4] För att förebygga personuppgiftsincidenter, bedöma svårighetsgraden och underlätta efterhandsutredningar kan användningen av datasystem övervakas med hjälp av ett loggdatasystem. Ett väldesignat loggdatasystem möjliggör också en kortare reaktionstid vid personuppgiftsincidenter och effektiviserar anmälningen av dem.

Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.[5] Även personuppgiftsincidenter som inte överskrider den tröskel för anmälningsskyldighet som behandlas nedan ska dokumenteras. Det rekommenderas också att motiveringarna för de åtgärder som den personuppgiftsansvarige vidtagit med anledning av personuppgiftsincidenten dokumenteras.[6]

Anmälan av en personuppgiftsincident

Den personuppgiftsansvarige som ansvarar för läroanstaltsverksamheten har inte tidigare haft någon egentlig lagstadgad skyldighet att anmäla personuppgiftsincidenter. Dataskyddsförordningen medför emellertid en anmälningsskyldighet som gäller alla personuppgiftsansvariga. Beroende på personuppgiftsincidentens svårighetsgrad ska antingen den nationella dataskyddsmyndigheten eller både dataskyddsmyndigheten och den registrerade informeras. Anmälningsskyldigheten skärps eftersom personuppgiftsincidenter som inte åtgärdas tillräckligt snabbt och effektivt kan leda till fysiska, materiella eller immateriella skador för fysiska personer. Skadorna kan vara såväl ekonomiska som sociala.[7]

Liksom säkerheten i samband med behandlingen av personuppgifter i allmänhet bör också anmälan av personuppgiftsincidenter granskas i ljuset av proportionalitetsprincipen. Åtgärderna i samband med anmälan ska ställas i förhållande till de följder som personuppgiftsincidenten eventuellt kan ha för den registrerade. Om till exempel en lista med enbart e-postadresser blir allmänt tillgänglig är risken närmast att den registrerade kan bli utsatt för mer skräppost, medan en personbeteckning som läckt ut kan leda till att den registrerade blir offer för identitetsstöld.

Om den personuppgiftsansvarige bedömer att personuppgiftsincidenten sannolikt inte medför någon risk för elevernas eller de studerandes rättigheter och friheter behöver ingen anmälan göras. I enlighet med ansvarsprincipen ska den personuppgiftsansvarige kunna påvisa att någon risk sannolikt inte föreligger.[8] Om det konstateras att risken finns, avgör risknivån vilka parter som ska informeras om personuppgiftsincidenten. I praktiken innebär det att den personuppgiftsansvarige utan dröjsmål efter att ha blivit medveten om personuppgiftsincidenten ska kunna bedöma hurdana risker den kan medföra för de registerade.

Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är fastställs utifrån behandlingens art, omfattning, sammanhang och ändamål. Bedömningen ska utföras på ett objektivt sätt med målet att fastställa huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.[9] Bedömningen ska göras med hänsyn till bland annat personuppgiftsincidentens art och följdernas svårighetsgrad, den typ av personuppgifter som incidenten gäller, uppgifternas mängd och känsliga natur, antalet registrerade och huruvida de kan identifieras samt eventuella särskilda kategorier.[10] Risken kan begränsas till exempel genom lämpliga tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av missbruk.[11] Om de personuppgifter som blivit föremål för en personuppgiftsincident är känsliga stiger däremot risken. En annan betydelsefull aspekt är huruvida personuppgifter som rör sårbara personer, framför allt barn, har varit föremål för behandling.[12]

Om personuppgiftsincidenten sannolikt leder till en risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den behöriga tillsynsmyndigheten om personuppgiftsincidenten. Den behöriga tillsynsmyndigheten i Finland är dataombudsmannen. Om det är möjligt ska anmälan göras inom 72 timmar efter att personuppgiftsincidenten har upptäckts. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den personuppgiftsansvarige motivera dröjsmålet för tillsynsmyndigheten.[13]

När en personuppgiftsincident anmäls till tillsynsmyndigheten ska anmälan åtminstone

  • beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  • förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
  • beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  • beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.[14]

Om det inte är möjligt att tillhandahålla ovannämnda information samtidigt får den lämnas in till tillsynsmyndigheten i omgångar. Informationen ska dock tillhandahållas utan onödigt dröjsmål.[15]

Om en personuppgiftsincident sannolikt medför en hög risk för elevernas eller de studerandes rättigheter och friheter ska den personuppgiftsansvarige informera också dem om incidenten. De registrerade ska också informeras om tillsynsmyndigheten kräver det.[16]

De registrerade ska underrättas om personuppgiftsincidenten utan onödigt dröjsmål och på ett tydligt och enkelt språk.[17] Underrättelsen ska beskriva personuppgiftsincidentens art och innehålla rekommendationer om hur den registrerade själv kan mildra de potentiella negativa effekterna.[18] Dessutom ska den innehålla åtminstone följande uppgifter:

  • namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
  • de sannolika konsekvenserna av personuppgiftsincidenten,
  • de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.[19]

Undantag från skyldigheten att informera varje registrerad separat om en personuppgiftsincident kan i vissa situationer tillåtas. Undantag är möjliga om åtgärden skulle inbegripa en oproportionell ansträngning, om personuppgifterna varit skyddade med lämpliga tekniska och organisatoriska åtgärder till exempel så att de genom kryptering gjorts oläsbara för utomstående, eller om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att en hög risk för den registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas för att kollektivt informera de registrerade på ett lika effektivt sätt.[20]

Läroanstalterna ska på förhand planera sitt agerande vid personuppgiftsincidenter. Undervisnings- och kulturministeriet rekommenderar att man upprättar en handlingsplan för personuppgiftsincidenter och att planen integreras i läroanstaltens krisplan. Även informationen till de registrerade ska planeras på förhand.

 

[1] Artikel 4.12 i dataskyddsförordningen.

[2] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf, s. 7 (länken kommer att uppdateras).

[3] Yttrande WP 250 av arbetsgruppen (WP 29) som består av EU-medlemsländernas dataskyddsmyndigheter, s. 6.

[4] Skäl 87 i ingressen till dataskyddsförordningen.

[5] Artikel 33.5 i dataskyddsförordningen.

[6] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf s. 26 (länken kommer att uppdateras).

[7] Skäl 85 i ingressen till dataskyddsförordningen.

[8] Skäl 85 i ingressen till dataskyddsförordningen.

[9] Skäl 76 i ingressen till dataskyddsförordningen.

[10] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/zzKfe6Nbj/Guidelines_on_Personal_data_breach_notification_under_Regulation_2016679.pdf s. 25–26 (länken kommer att uppdateras).

[11] Skäl 88 i ingressen till dataskyddsförordningen.

[12] Skäl 75 i ingressen till dataskyddsförordningen.

[13] Artikel 33.1 i dataskyddsförordningen.

[14] Artikel 33.3 i dataskyddsförordningen.

[15] Artikel 33.4 i dataskyddsförordningen.

[16] Artikel 34.4 i dataskyddsförordningen.

[17] Artikel 34.1 i dataskyddsförordningen.

[18] Skäl 86 i ingressen till dataskyddsförordningen.

[19] Artikel 33.3 och artikel 34.2 i dataskyddsförordningen.

[20] Artikel 34.3 i dataskyddsförordningen.