Fråga: Borttappat USB-minne med personuppgifter - ska vi anmäla till Datainspektionen?
Hej! En av våra medarbetare har blivit av med ett USB-minne som han har använt som back-up. Är inte helt klarlagt hur det försvann (borttappat eller stulet). På minnet fanns bland annat vissa uppgifter från vårt kundregister. Minnet var krypterat och det var som sagt bara en kopia (vi har med andra ord kvar data själva), men jag är lite osäker på om detta är något vi ska anmäla till Datainspektionen som en personuppgiftsincident. Tacksam för snabbt svar.
Legalbuddy svarar

Tack för att du vänder dig till oss med din fråga!


Eftersom frågar om du ska anmäla det inträffade som en personuppgiftsincident eller inte utgår jag från att du känner till att GDPR innehåller bestämmelser kring skyldigheten att anmäla incidenter till tillsynsmyndigheten (Datainspektionen). Du känner nog då också till att en eventuell anmälan ska göras inom 72 timmar från att incidenten upptäcktes.


Vad är en personuppgiftsincident?


Enligt GDPR är en personuppgiftsincident "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats".


I ert fall skulle det potentiellt kunna handla om obehörig åtkomst av de uppgifter som fanns på USB-minnet, givet att någon obehörig kunde knäcka krypteringen och därmed komma åt uppgifterna. Såvitt jag förstår har ni uppgifterna kvar i andra system vilket då betyder att det inte handlar om en förlust av data.


Vår bedömning är att det du beskriver kvalificerar sig som en personuppgiftsincident.


Hur avgör man om man ska rapportera en incident?


För att avgöra om ni är skyldiga att anmäla det hela till Datainspektionen ska ni först och främst ta ställning till om "det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter". Tyvärr finns det ingen enkel mall för hur man tar ställning till rapporteringsskyldigheten, en bedömning får helt enkelt göras från fall till fall.


Baserat på det du beskriver i din fråga gör vi bedömningen att det inträffade inte behöver rapporteras till Datainspektionen. Krypteringen av uppgifterna bör medföra att det är osannolikt att någon obehörig tar del av uppgifterna. Detta förutsätter då att den kryptering som har använts på minnet är "bra", det vill säga lever upp till "industry standard". Skulle det senare visa sig att någon trots allt har haft obehörig åtkomst till uppgifterna blir läget annorlunda - då krävs enligt vår bedömning en anmälan.


I tillägg till ovan kan nämnas att vid incidenter där det bedöms föreligga hög risk för negativa konsekvenser för de registrerade (vilket i ert fall förefaller vara era kunder) är man som personuppgiftsansvarig också skyldig att informera de registrerade om det inträffade.


Personuppgiftsincidenter anmäls på Datainspektionens webbplats, www.datainspektionen.se.

Prata med en av våra affärsjurister i 30 minuter (gratis).

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Kommentarer

Skapa ett biträdesavtal när någon annan processar data för din räkning. OBS gratistjänst

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan