Personuppgiftsansvarigas roll med anledning av Miljödata och Darknet

Den här texten riktar sig främst till personuppgiftsansvariga. För dig som är privatperson finns information här: Har personuppgifter om dig läckt i it-angreppet mot miljödata?

Vi vill för det första betona att ni inte bör söka upp eller ladda ned de uppgifter som finns publicerade på Darknet Dels utgör detta i sig en ny personuppgiftsbehandling, dels kan det bidra till en ytterligare spridning av materialet. Det går inte heller att utesluta att de filer som hittas kan innehålla exempelvis ytterligare malware.

Om ni är osäkra på om och vilka av era uppgifter som kan ha kommit att omfattas rekommenderar vi att ni i första hand, och i enlighet med ert personuppgiftsbiträdesavtal, vänder er mot ert personuppgiftsbiträde.

Information till de registrerade

Det är värt att notera att den senaste utvecklingen kan komma att påverka den riskbedömning som tidigare gjorts. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter har ni i huvudregel en skyldighet att utan onödigt dröjsmål informera de berörda registrerade om personuppgiftsincidenten.

Om det föreligger en sådan hög risk för de registrerade behöver ni

• klart och tydligt beskriva personuppgiftincidentens art,
• förmedla namnet på och kontaktuppgifterna för ert dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas,
• beskriva de sannolika konsekvenserna av personuppgiftsincidenten samt
• beskriva de åtgärder som ni har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten eller för att mildra dess potentiella negativa effekter.

Om det skulle inbegripa en oproportionell ansträngning att informera samtliga berörda registrerade kan i undantagsfall i stället allmänheten informeras, eller så kan en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt för att ge dem möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador. Notera dock att det endast är i undantagsfall som ni kan välja bort att ta direktkontakt med de berörda registrerade.

Vad de registrerade kan behöva tänka på

Ett viktigt råd är att ta del av information och uppmärksamma eventuella råd från den personuppgiftsansvarige i samband med att de meddelats om personuppgiftsincidenten.

De bör även utgå ifrån sig själva och fundera på vilka uppgifter som kan ha kommit ut och vad de i så fall kan göra för att begränsa eventuella skadeverkningar.

Om skyddade personuppgifter har läckt är det av stor vikt att de berörda förstår det så att de kan vidta nödvändiga åtgärder. Vilka dessa är beror på vad det är för uppgifter och anledningen till att uppgifterna är skyddade.

De registrerade bör vidare uppmärksammas på risken att någon kan använda deras uppgifter för att lura dem. Det kan till exempel röra sig om bedrägerier via mejl, sms eller telefonsamtal där den som söker kontakt utger sig för att vara någon man litar på. Särskilt uppmärksam bör de vara mot uppmaningar att klicka på en länk eller logga in någonstans.

Har exempelvis finansiella uppgifter, till exempel bankkonto- eller kreditkortsnummer, eller uppgifter från pass eller id-kort läckt ökar risken för att de används som hjälpmedel vid identitetsstödler eller bedrägerier.

Om exempelvis lösenord har exponerats så är det även viktigt att byta lösenord, särskilt om lösenordet återanvänts för flera tjänster. De registrerade kan även behöva vara uppmärksamma på om det sker aktiviteter i någon av sina tjänster som de själva inte utfört.

Var har det brustit?

Det kan sägas att både personuppgiftsansvariga och personuppgiftsbiträden har ett eget ansvar när det kommer till personuppgiftsbehandlingar. Det huvudsakliga ansvaret ligger dock hos den personuppgiftsansvariga.

De har exempelvis en skyldighet endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvarige ska även ansvara för och kunna visa att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet, oavsett om behandlingen sker av dem själva eller via ett personuppgiftsbiträde.

Både den personuppgiftsansvarige och ett personuppgiftsbiträde ska dock vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till den risk som finns.

Den personuppgiftsansvariga har också ett ansvar för att säkerställa att inte fler personuppgifter än nödvändigt behandlas eller att de behandlas längre än nödvändigt.

Notera att det faktum att en incident inträffar inte nödvändigtvis behöver innebära att den personuppgiftsansvarige eller personuppgiftsbiträdet har brustit i sitt ansvar. Enligt dataskyddsförordningen ska personuppgifter behandlas på ett sätt som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken för personuppgifterna med beaktande av exempelvis den senaste utvecklingen, behandlingens art, omfattning, sammanhang och ändamål.

Vad gäller angreppet mot Miljödata och de läckta personuppgifterna arbetar Integritetsskyddsmyndigheten i nuläget med att samla in information och skapa en uppdaterad lägesbild. Vi kan just nu inte uttala oss om ifall eller vilken part har brustit i sina skyldigheter enligt dataskyddsförordningen. Vårt fokus i den här fasen är att berörda individer och aktörer ska få stöd och råd för att hantera den uppkomna situationen.

Centralt är att man som organisation drar lärdomar av det som inträffat och arbetar för att det inte kommer att ske igen. Incidenten betonar även vikten av att löpande gå igenom sina rutiner kring gallring och sin personuppgiftsbehandling, så att inte fler personuppgifter än nödvändigt behandlas eller att de behandlas längre än vad som är nödvändigt.