Tack för att du vänder dig till oss med din fråga!
Eftersom frågar om du ska anmäla det inträffade som en personuppgiftsincident eller inte utgår jag från att du känner till att GDPR innehåller bestämmelser kring skyldigheten att anmäla incidenter till tillsynsmyndigheten (Datainspektionen). Du känner nog då också till att en eventuell anmälan ska göras inom 72 timmar från att incidenten upptäcktes.
Enligt GDPR är en personuppgiftsincident "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats".
I ert fall skulle det potentiellt kunna handla om obehörig åtkomst av de uppgifter som fanns på USB-minnet, givet att någon obehörig kunde knäcka krypteringen och därmed komma åt uppgifterna. Såvitt jag förstår har ni uppgifterna kvar i andra system vilket då betyder att det inte handlar om en förlust av data.
Vår bedömning är att det du beskriver kvalificerar sig som en personuppgiftsincident.
För att avgöra om ni är skyldiga att anmäla det hela till Datainspektionen ska ni först och främst ta ställning till om "det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter". Tyvärr finns det ingen enkel mall för hur man tar ställning till rapporteringsskyldigheten, en bedömning får helt enkelt göras från fall till fall.
Baserat på det du beskriver i din fråga gör vi bedömningen att det inträffade inte behöver rapporteras till Datainspektionen. Krypteringen av uppgifterna bör medföra att det är osannolikt att någon obehörig tar del av uppgifterna. Detta förutsätter då att den kryptering som har använts på minnet är "bra", det vill säga lever upp till "industry standard". Skulle det senare visa sig att någon trots allt har haft obehörig åtkomst till uppgifterna blir läget annorlunda - då krävs enligt vår bedömning en anmälan.
I tillägg till ovan kan nämnas att vid incidenter där det bedöms föreligga hög risk för negativa konsekvenser för de registrerade (vilket i ert fall förefaller vara era kunder) är man som personuppgiftsansvarig också skyldig att informera de registrerade om det inträffade.
Personuppgiftsincidenter anmäls på Datainspektionens webbplats, www.datainspektionen.se.
Ställ en fråga inom alla affärsjuridiska rättsområden.
Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!