Rapportera integritetsincidenter

Operatörer ska rapportera inträffade integritetsincidenter till PTS och till berörda abonnenter och användare, det framgår av 6 kap. 4 a § lagen (2003:389) om elektronisk kommunikation.

När och hur rapportering ska ske och vad rapporterna ska innehålla framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. För att beskriva reglerna närmare har PTS tagit fram en vägledning.

Vägledningen innehåller förklaringar och exempel som avser att illustrera hur reglerna kan tillämpas. Dessa ska däremot inte betraktas som förhandsbesked om vilka bedömningar PTS kan komma att göra i ett enskilt ärende.

Vägledningen finns i pdf-format till höger på denna sida. Webbtexten ger en kortfattad sammanfattning av vägledningen. Läs hela vägledningen för fullständig information.

Varför ska integritetsincidenter rapporteras?

Det är viktigt att det på ett säkert sätt går att utbyta information via elektroniska kommunikationsnät och -tjänster. En av PTS uppgifter är att främja tillgången till säkra och effektiva elektroniska kommunikationer, och utöva tillsyn över de regler som finns i lagen om elektronisk kommunikation.

Integritetsincidenter kan vara ett hot mot tilltron till elektroniska kommunikationstjänster. Personuppgifter som sprids till utomstående eller går förlorade kan få allvarliga konsekvenser och leda till ekonomisk skada eller personlig kränkning.

Operatörernas rapporter ger PTS underlag att bedöma om bestämmelserna om integritetsskydd inte följs, och i så fall bedriva tillsyn. Dessutom ökar rapporterna  PTS kunskap om vanliga orsaker till incidenter m.m.

Vem är skyldig att rapportera integritetsincidenter?

Reglerna gäller för alla som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. En elektronisk kommunikationstjänst är en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät.

För mer information om innebörden av dessa begrepp, se anmälningsplikt för operatörer.

Vad är en integritetsincident?

Enligt lagen är en integritetsincident:

en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.

Händelsen ska ha samband med behandling av uppgifter. Behandling är t.ex. insamling, registrering, lagring och bearbetning. Behandlingen ska ha skett i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst.

De typer av uppgifter som framför allt omfattas är

  • det innehåll som överförs i kommunikationstjänsten,
  • de abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som kan kopplas till den överförda informationen, till abonnemangsinnehavare eller till de användare som kommunicerar

I vägledningen finns mer utförlig information om vad som kan anses vara en integritetsincident. Observera att i EU-förordning nr 611/2013 används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

Vilka integritetsincidenter ska rapporteras och till vem?

Som utgångspunkt ska samtliga integritetsincidenter rapporteras till både PTS och till berörda abonnenter eller användare. Dessutom ska samtliga integritetsincidenter föras in i en förteckning hos operatören.

Undantag

Rapportering till berörda abonnenter eller användare behöver inte lämnas om

  • integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna eller
  • tjänstetillhandahållaren har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, t.ex. genom kryptering eller en hashfunktion.

Observera att operatörens förteckning ska innehålla uppgifter om samtliga integritetsincidenter. Förteckningen ska även uppdateras löpande.

När och hur ska rapportering ske till PTS och vad ska rapporterna innehålla?

Operatören ska självmant lämna en rapport till PTS senast 24 timmar efter det att integritetsincidenten upptäcks. Om operatören vid denna tidpunkt ännu inte har tillgång till alla uppgifter om incidenten ska de uppgifter som finns tillgängliga lämnas i en inledande rapport och resterande uppgifter lämnas i en kompletterande rapport så snart som möjligt, dock senast 3 dagar efter den inledande rapporten.

Rapporten ska bl.a. innehålla uppgifter om:

  • när integritetsincidenten inträffade
  • antal berörda abonnenter eller
  • användarbeskrivning av integritetsincidenten, dess orsaker och konsekvenser
  • berörda uppgifternas art och innehåll
  • åtgärder för att avhjälpa brister och för att undvika liknande incidenter

Utförligare information om varje del av innehållet i rapporten finns i vägledningen.

Rapporten ska skickas till PTS elektroniskt via PTS e-tjänst för incidentrapportering, eller till e-postadressen incidentrapport@pts.se.

När och hur ska rapportering ske till berörda abonnenter eller användare och vad ska rapporterna innehålla?

Även de abonnenter eller användare som berörs av en integritetsincident ska underrättas om den så att de kan vidta lämpliga åtgärder, för att begränsa eller på något sätt hantera den skada som incidenten kan medföra.

Rapporten till berörda abonnenter eller användare ska skickas utan onödigt dröjsmål efter det att integritetsincidenten upptäckts.

Rapporten till abonnenter och användare ska bl.a. innehålla uppgifter om:

  • när integritetsincidenten inträffade
  • beskrivning av integritetsincidenten och dess konsekvenser
  • åtgärder som operatören vidtar som påverkar abonnenter eller användare
  • rekommenderade åtgärder som abonnenten eller användaren bör vidta
  • kontaktuppgifter till operatören

Utförligare information om varje del av innehållet i rapporten finns i vägledningen.

Rapporter ska lämnas till abonnenter eller användare på ett sätt som säkerställer att informationen snabbt kan tas emot och att den skyddas på lämpligt sätt. Operatören bör använda någon av de kommunikationskanaler som operatören brukar använda för att kommunicera med abonnenterna eller användarna. Det är dock viktigt att operatören tar rimliga steg för att se till att informationen verkligen når fram. Information om den inträffade incidenten ska formuleras tydligt och lättbegripligt och får inte lämnas tillsammans med någon annan information, t.ex. i samband med marknadsföring av tjänster.

När en rapport avseende en integritetsincident har lämnats till en abonnent eller användare ska en kopia av rapporten också lämnas till PTS.

Observera att denna webbsida endast ger en sammanfattning av vägledningen. Läs hela vägledningen för fullständig information.