Var glad för att ditt företag inte har sitt säte (huvudkontor) i Holland, Tyskland eller Polen. Här har mängder av företag dömts att betala sanktionsavgifter på upp till hundratals miljoner kr. I Sverige har Datainspektionen utfärdat endast två mindre sanktionsavgifter.
Sedan den 25 maj 2018 då den nya Dataskydds-förordningen klubbades igenom i EU, har det rört på sig. Fast olika mycket i olika EU-länder. Vissa länders dataskyddsmyndigheter har varit på hugget och utfärdat höga böter. Här är några exempel:
(Tyskland)
Det tyska fastighetsbolaget Deutsche Wohnen använde ett datorsystem där det inte gick att ta bort gamla uppgifter om hyresgäster. Berlins kommissionär för dataskydd granskade företaget och beslutade om en sanktionsavgift på 155 miljoner kr.
(Polen)
Vilket ska löna sig bäst; att betala pengar till kriminella cyberutpressare och hålla tyst, eller vara laglydig och rapportera intrång till dataskydds-myndigheten? Det undrar det polska onlineföre-taget Morele.net som nyligen fick böter på 6,4 miljoner kr, vilket är flera gånger högre än den lösensumma som ”hackern” krävde.
(Tyskland)
Tysk matdistributör glömde radera 10 st personuppgifter. Fick sanktionsavgift på drygt 2 miljoner kr.
(Holland)
En Holländsk A-kassa dömdes till 10 miljoner kr i sanktionsavgift för att inte ha tillämpat tvåfaktor-identifiering (multi-factor authentication) när medlemmarna loggade in på ”sina sidor”. Det behövs alltså ingen incident för att råka ut för sanktionsavgifter. Det räcker med dålig säkerhet.
(Österrike)
Den nationella Posten fick GDPR-böter på närmare 200 miljoner kr, för att de saknade laglig grund för att hantera uppgifter om medborgarnas politiska tillhörighet. Uppgifter som dessutom var till salu….
(England)
När hotellkedjan Marriott förlorade 339 miljoner gästdata i en cyberattack 2018, beslutade den brittiska dataskyddsmyndigheten att utfärda en rekortbot på närmare 1,2 miljarder kr (110 milj Euro) för bristande IT-säkerhet.
(Sverige)
En gymnasieskola i Skellefteå testade att använda ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket pågick under tre veckor och berörde 22 elever (som givit sitt samtycke). Datainspektionen menar skolan har hanterat känsliga personuppgifter i strid med dataskyddsförordningen och utfärdade böter på 200 000 kr.
(Sverige)
Datainspektionen har beslutat att sajten Mrkoll, som publicerar uppgifter om alla svenskar över 16 år, ska betala en sanktionsavgift på 350 000 kr för brott mot kreditupplysningslagen och dataskyddsförordningen. Orsaken är att sajten bedrivit kreditupplysningsverksamhet på ett sätt som inte är lagligt.
Vågar man dra en lättnande suck?
Med endast två utfärdade sanktionsavgifter på närmare 5 000 anmälda incidenter, kan man undra vad den svenska Datainspektionen (DI) pysslar med. Hittills har DI lagt sitt krut på information och skrivbordsgranskningar, men efter årsskiftet lovar generaldirektören att ta i med hårdhandskarna.
- Vi prioriterar granskningar som bedöms få störst effekt på integritetsskyddet, både hos den verksamhet som granskas och hos andra myndigheter, företag och organisationer, säger Datainspektionens generaldirektör Lena Lindgren Schelin.
De prioriterade områden som ska granskas har identifierats genom bland annat de klagomål och personuppgiftsincidenter som inkommit till Datainspektionen, erfarenheter från tidigare granskningar och omvärldsbevakning.
Under 2019/2020 kommer sjukvården, skolan och rättsväsendet att granskas extra noga. Men också kundklubbar, appar med plats- och positionsdata samt inpasseringssystem på vanliga arbetsplatser, ligger i riskzonen.
Vilken typ av incidenter har rapporterats i Sverige?
Näringslivet står för närmare hälften av alla rapporterade incidenter. Enbart bank och försäkring står för en lika stor andel (ca 25%) som stat och kommun har tillsammans.
I 42% av fallen handlar det om att ett brev eller e-post skickats till fel mottagare. Den näst vanligaste orsaken är att någon olovligen fått tillgång till personuppgifter pga felaktig behörighet. Endast i 7% av fallen handlade det om förlust av personuppgifter på grund av stöld.
Som orsak anges den mänskliga faktorn i hela 61% av fallen, medan tekniskt fel anges i endast ett av tio fall.
Hjälp jag har tappat min mobiltelefon! Måste jag anmäla incidenten till Datainspektionen?
Att bedöma vilka personuppgifts-incidenter som måste anmälas till Datainspektionen är inte så enkelt. Särskilt inte som det är bråttom, anmälan ska ju göras inom 72 timmar.
En bra grundregel är att rådgöra med sitt dataskyddsombud och att dokumentera alla incidenter för internt bruk (lära sig av misstagen). Så här hade ditt dataskyddsombud förmodligen resonerat:
En privat mobiltelefon berörs sannolikt inte av Dataskyddsförordningen (den innehåller personuppgifter för privat bruk) och incidenten behöver därför inte anmälas till Datainspektionen.
Gäller förlusten en tjänstemobil måste personuppgiftsansvarige (dvs företaget eller organisationen som står för abonnemanget) bedöma allvarligheten av den potentiella eller faktiska påverkan förlusten har i det enskilda fallet.
· Hur allvarliga kan konsekvenserna bli (t ex innehöll mobilen känsliga personuppgifter)?
· Hur sannolikt är det att enskilda personer drabbas?
· Hur lång tid har gått innan mobiltelefonen spärrades?
Om personuppgiftsincidenten är allvarlig eller/och om sannolikheten för konsekvenser är stor – blir också risken högre.
Efter samtal med Datainspektionen framkommer att inspektionen anser att en incident med en borttappad tjänstemobil som inte spärrats inom ett dygn, ska anmälas trots att mobilen var skyddad av pinkod och inget tydde på intrång.
Källor: Datainspektionen, Enforcementtracker,
