Utökade skyldigheter att rapportera till tillsynsmyndigheten

Kommissionens förslag till ny dataskyddsförordning (”förslaget”) innehåller utökade skyldigheter för personuppgiftsansvariga att rapportera personuppgiftsbrott till tillsynsmyndigheten. Ett personuppgiftsbrott definieras som ett säkerhetsbrott som leder till förstöring, förlust eller ändring av uppgifter som sker genom olyckshändelse eller otillåten handling. Även obehörigt röjande av eller obehörig åtkomst till personuppgifter som antingen överförts, lagrats eller behandlats på annat sätt utgör personuppgiftsbrott. De nya kraven kommer sannolikt innebära att många organisationer blir tvungna att ta fram nya rutiner för att klara av rapporteringsskyldigheten.

Enligt den nuvarande svenska regleringen finns ingen allmän skyldighet för personuppgiftsansvariga att rapportera personuppgiftsbrott till Datainspektionen. Idag finns endast en skyldighet att anmäla viss personuppgiftsbehandling och vissa verksamheter till Datainspektionen. Den skyldigheten gäller dock inte om ett så kallat personuppgiftsombud har utsetts och inte heller i vissa andra fall.

På telekommunikationsområdet däremot finns redan idag, enligt lagen (2003:389) om elektronisk kommunikation (”LEK”), en skyldighet för tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster (”tjänstetillhandahållare”) att rapportera integritetsincidenter till Post och Telestyrelsen som är tillsynsmyndighet på telekommunikationsområdet. En integritetsincident definieras som en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av tjänsten. Enligt LEK finns även en skyldighet att underrätta den enskilda användaren om integritetsincidenten kan antas inverka negativt på den personliga integriteten. Sådan underrättelse krävs dock inte om tjänstetillhandahållaren kan visa att adekvata säkerhetsåtgärder – dvs. sådana åtgärder som gör uppgifter oläsbara för obehöriga – tillämpades vid tiden för integritetsincidenten.

Hittills har alltså skyldigheten att underrätta om olika slags integritetsincidenter i princip endast gällt tjänstetillhandahållare på telekommunikationsområdet. Dessa aktörer skiljer sig från många andra personuppgiftsansvariga eftersom de får sägas bedriva en teknikintensiv verksamhet där säker och rigid hantering av personuppgifter är nödvändigt, och det inte enbart utifrån ett legalt perspektiv, utan också av rent kommersiella skäl såsom avgiftsberäkning och fakturering. Vidare är de uppgifter som hanteras inom ramen för telekommunikationstjänster ofta av känslig natur eftersom de möjliggör omfattande och långtgående kartläggning av privat kommunikation. Bristfälliga säkerhetsrutiner hos dessa aktörer skulle därför – oavsett lagstiftningens utformning – kunna leda till betydande förtroende- och goodwill-förluster. Mot den bakgrunden bör rapporteringsskyldigheten inte framstå som lika betungande för dessa aktörer.

Om förslaget antas i sin nuvarande form kommer skyldigheten att rapportera till tillsynsmyndigheten att utvidgas till att omfatta alla personuppgiftsansvariga (artiklarna 31 och 32 i förslaget). Personuppgiftsansvariga kommer dessutom att åläggas en skyldighet att underrätta den registrerade om ett eventuellt personuppgiftsbrott, om brottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet. I likhet med nuvarande reglering i LEK krävs dock ingen underrättelse om tjänstetillhandahållaren kan visa att lämpliga tekniska skyddsåtgärder – det vill säga sådana åtgärder som gör uppgifter oläsbara för obehöriga – tillämpats på de uppgifter som berörts av personuppgiftsbrottet.

Förutom att tillämpningsområdet för rapporteringsskyldigheten utvidgas från att endast gälla på telekommunikationsområdet till att omfatta alla personuppgiftsansvariga, innehåller förslaget ett krav på att rapportering ska ske inom 24 timmar från kännedom om personuppgiftsbrottet. Om rapportering inte sker inom den utsatta tiden ska rapporten till tillsynsmyndigheten innehålla en utförlig motivering till varför så inte har skett.

Europeiska unionens råd (”Rådet”), som tillsammans med Europaparlamentet har att besluta om införandet av förslaget, kom den 31 maj 2013 med ett utkast till kompromisstext till förslaget. I kompromisstexten föreslår Rådet att rapportering ska ske inom 24 – 72 timmar. I dagsläget är det därför något oklart vilken tidsfrist som kommer att gälla.

Innehållet i en rapport om personuppgiftsbrott regleras i detalj i förslaget och ska vara relativt omfattande. Rapporten ska exempelvis innehålla en beskrivning av personuppgiftsbrottet, en rekommendation om vilka åtgärder som ska vidtas för att minska de negativa effekterna av personuppgiftsbrottet samt en beskrivning av vilka konsekvenser personuppgiftsbrottet kan få. Att hinna upprätta en sådan rapport inom någon eller några dagar, utan att ha särskilda rutiner på plats, kommer sannolikt att vara omöjligt i många fall.

Eftersom rapporteringsskyldigheten utvidgas till att omfatta alla personuppgiftsansvariga kommer organisationer av vitt skilda slag vara tvungna att implementera rutiner som möjliggör snabb rapportering. Framtagandet av sådana rutiner kommer att vara betungande för många personuppgiftsansvariga. Den uppställda tidsgränsen kommer sannolikt att göra det omöjligt för personuppgiftsansvariga att tillämpa ad hoc-lösningar där personuppgiftsbrott hanteras på förekommen anledning. Det är högst osannolikt att avsaknaden av säkerhetsrutiner kommer att betraktas som en godtagbar anledning till att inte rapportera inom den föreskrivna tiden.

Dataskydd utgör i många fall inte en integrerad och självklar del av verksamheten. Implementering och upprätthållande av rutiner för rapportering kommer därför att bli praktiskt betungande för många personuppgiftsansvariga. Eftersom förslaget innehåller föreskrifter som möjliggör påförande av administrativa böter upp till 1 miljon euro eller två procent av den årliga globala omsättningen (100 miljoner euro eller 5 procent av den årliga globala omsättningen enligt Europaparlamentets kompromissförslag, 21 oktober 2013), kommer det emellertid att vara nödvändigt för varje organisation att se över sina rutiner så att dessa är förenliga med dataskyddsförordningen, och det lämpligen innanden träder i kraft.