Personuppgiftsansvarig vs personuppgiftsbiträde - var går gränsen för ansvar avseende säkerhet?
)
Enligt dataskyddsförordningen (GDPR) har både personuppgiftsansvarig och personuppgiftsbiträde ett ansvar för att behandla personuppgifter med erforderlig säkerhet, men hur ser ansvarsfördelningen ut och hur har dataskyddsmyndigheterna valt att fördela sanktionsavgifter för brister i säkerheten i praktiken?
Vad säger GDPR?
Enligt GDPRs grundläggande principer i artikel 5, ska personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.
Det är den personuppgiftsansvariges skyldighet att ansvara för och kunna visa att de grundläggande principerna i artikel 5 efterlevs.
Vidare stadgar artikel 24 i GDPR att det är den personuppgiftsansvarige som ansvarar för att genomföra lämpliga tekniska och organisatoriska åtgärder med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för registrerades fri- och rättigheter.
I artikel 32, däremot, finns bestämmelser om att både personuppgiftsansvarig och personuppgiftsbiträdet har ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Hur har det bedömts i praktiken?
Dataskyddsmyndigheterna har inte varit entydiga i sina beslut. Nedan följer några exempel på beslut från vår svenska dataskyddsmyndighet, IMY, som i viss mån liknar varandra.
Stockholms stad skolplattform (personuppgiftsansvarig)
Obehöriga personer hade, via en säkerhetsbrist, kommit åt uppgifter om elever (varav vissa känsliga uppgifter), vårdnadshavare och lärare. Datainspektionen (nuvarande IMY) menade att Stockholms stad, som var personuppgiftsansvarig, hade behandlat personuppgifter i strid med både artikel 5 och artikel 32 i GDPR. Dessa artiklar ställer krav på lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling samt på att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter.
Sanktionsavgift 4 MSEK (senare nedsatt till 3 MSEK) till personuppgiftsansvarig.
Vklass (personuppgiftsbiträde)
Personuppgifter på en annan skolplattform, Vklass (som var personuppgiftsbiträde), hade otillåtet publicerats på en webbplats öppet tillgängligt på internet, vilket ledde till ca 60 anmälningar om personuppgiftsincidenter till IMY från personuppgiftsansvariga som använde Vklass som skolplattform.
Vklass saknade systemövervakning av ett visst slag vilket innebar att Vklass inte hade möjlighet att upptäcka avvikande händelser och identifiera vilka uppgifter som hämtats från skolplattformen. Avsaknaden av sådan systemövervakning och loggning ledde till att Vklass, som personuppgiftsbiträde, inte upptäckte incidenterna och inte heller kunde ange vilka personuppgiftsansvariga eller registrerade som har drabbats eller när detta skett.
IMY förelade Vklass, som personuppgiftsbiträde, att vidta lämpliga tekniska och organisatoriska åtgärder för att kunna identifiera avvikande händelser och kunna upptäcka och fastställa orsaken bakom och omfattningen av en inträffad personuppgiftsincident.
1177 (personuppgiftsansvariga och personuppgiftsbiträden)
2,7 miljoner inspelade samtal till 1177 gick att ta del av på en server utan lösenordsskydd eller annan säkerhet, vilket ledde till ett antal anmälningar om personuppgiftsincidenter till IMY. Incidenten beskrevs som ”obehörig åtkomst där personer utanför organisationen, som saknat behörighet, tagit del av känsliga personuppgifter bl.a. om patienters hälsa”. Orsaken uppgavs vara ett säkerhetshål och intrång i ett personuppgiftsbiträdes server som medfört att känsliga personuppgifter i form av ljudfiler med samtal till 1177 hade exponerats mot internet utan några skyddsmekanismer.
IMY inledde granskning mot såväl personuppgiftsansvariga (tre regioner och ett privat vårdbolag, MedHelp) som mot personuppgiftsbiträden (Inera, som kopplade samtal vidare, samt Voice, som var en plattform med ljudfiler, vilka sedermera exponerades mot internet utan skydd). Ett personuppgiftsbiträde, MediCall, som anlitades av MedHelp när enskilda ringde 1177 under jourtid, hade sitt säte i Thailand vilket innebär att det föll utanför IMYs jurisdiktion och därför inte var föremål för granskning.
Regionerna fick, i egenskap av personuppgiftsansvariga, sanktionsavgifter om mellan 250 000 och 500 000 kr (främst för att brustit i informationsplikten). MedHelp, också personuppgiftsansvarig, fick stora sanktionsavgifter (12 MSEK) och föreläggande dels för brister i information, men också för brister i säkerhet och för att ha lämnat ut personuppgifter till det thailändska bolaget MediCall och låtit MediCall samla in personuppgifter som behandlats i strid med GDPR.
Av personuppgiftsbiträdena lämnades Inera utan åtgärd, medan IMY ansåg att Voice underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som var lämplig för att förhindra obehörigt röjande av personuppgifterna eller obehörig åtkomst till personuppgifterna och fick därför en administrativ sanktionsavgift om 650 000 kr.
Sammanfattningsvis:
Dataskyddsmyndigheterna kan alltså välja att ge förelägganden och sanktionsavgifter till både personuppgiftsansvarig och personuppgiftsbiträde för brister i säkerhet för personuppgifter. Det är därför lika viktigt för den personuppgiftsansvarige som för biträdet att säkerställa efterlevnad av teknisk och organisatorisk säkerhet. Man ska dock ha med sig att det i slutändan alltid är den personuppgiftsansvarige som ska kunna visa på efterlevnad av de grundläggande principerna i artikel 5. Det är också ofta den personuppgiftsansvarige som får ”bära hundhuvudet” i media, eftersom den personuppgiftsansvarige ofta också är varumärket ut mot konsumenterna/kunderna.
Av artikel 28 framgår dessutom att den personuppgiftsansvarige endast får anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder till skydd för personuppgifterna.
Vår rekommendation är därför att personuppgiftsansvariga alltid har noga koll på sina biträdens säkerhet. Ett led i att säkerställa att biträdet har de i GDPR högt ställda kraven på tekniska och organisatorisk säkerhet, är att både före val av biträde och därefter med jämna mellanrum, göra leverantörsutvärderingar. I en leverantörsutvärdering kan personuppgiftsansvarig ställa frågor till biträdet om säkerhetsrutiner, förekomsten av loggar och säkerhetskopior, fysisk säkerhet, underbiträden, försäkringar för dataintrång och cyberattacker, behörighetsbegränsningar, incidentrutiner, osv, osv.
Fondias dataskyddsteam har stor erfarenhet av leverantörsutvärderingar och kan hjälpa till att ställa rätt frågor till de personuppgiftsbiträden er verksamhet anlitar.
Om Fondias team inom dataskydd
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS - dataskyddsombud som en tjänst.
Tveka inte att kontakta oss! Vi har kontor i Stockholm, Göteborg och Malmö - välkommen till Fondia!
