Rapportera integritetsincident

Operatörer ska rapportera integritetsincidenter till PTS senast 24 timmar efter att incident har upptäckts. Här beskriver vi vilka händelser som ska rapporteras, vilka uppgifter som ska ingå i rapporten samt om och hur abonnenter ska informeras.

Trots att tillhandahållare vidtar säkerhetsåtgärder kan händelser inträffa som leder till att de behandlade uppgifterna inte skyddas. Sådana händelser kan inträffa genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet förfarande hos operatören som till exempel brister i organisationen, misstag eller tekniska fel i system.

När en integritetsincident inträffar ska tjänstetillhandahållaren utan onödigt dröjsmål underrätta PTS. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör ska även dessa underrättas utan onödigt dröjsmål.

Hur och när rapportering ska ske regleras av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Anmälan enligt LEK eller GDPR

Såväl lagen om elektronisk kommunikation (LEK) som dataskyddsförordningen (GDPR) skyddar enskildas personuppgifter. Båda regelverken innehåller krav på att integritetsincidenter ska rapporteras.

  • Om LEK är tillämplig ska incidenten rapporteras till PTS.
  • Om GDPR ska tillämpas ska incidenten rapporteras till Integritetsskyddsmyndigheten (IMY).


Hur ska operatörerna avgöra vilken lag – och vilken rapporteringsskyldighet – som gäller?

Det här gäller enligt LEK

LEK är en särskild sektorsreglering, så kallad lex specialis i förhållande till GDPR, när det gäller sektorn för elektronisk kommunikation. Skyddet enligt LEK omfattar samtliga uppgifter som överförs, lagras eller på annat sätt behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.

LEK är alltså den reglering som ska tillämpas i första hand när ett företag behandlar uppgifter – såväl personuppgifter som andra uppgifter – i samband med tillhandahållandet av en elektronisk kommunikationstjänst. Skyddet avser både fysiska och juridiska personer.

Det här gäller enligt GDPR

GDPR är en allmän reglering som gäller behandling av personuppgifter. Den är tillämplig i förhållande till alla företag och organisationer. För operatörernas del innebär det att GDPR fångar upp personuppgiftsincidenter som faller utanför LEK:s tillämpningsområde. Först när en fråga inte specifikt regleras i LEK ska alltså GDPR tillämpas. Utöver detta innehåller LEK i vissa fall en hänvisning till GDPR. Regelverken kompletterar och påverkar på så sätt varandra.

Ingen dubbelrapportering

Vad gäller operatörernas rapportering av integritetsincidenter är det alltså bara om en incident inte ska rapporteras till PTS enligt LEK som den ska rapporteras till IMY enligt GDPR; dubbelrapportering av samma incident är inte nödvändig.

Vad är en integritetsincident?

”Integritetsincidenter är händelser som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.” (1 kap 7 § lagen (2022:482) om elektronisk kommunikation)

Här förklarar vi de olika begreppen för att förtydliga vad som är en integritetsincident.

Oavsiktlig eller otillåten utplåning eller förlust

Uppgifter som går förlorade eller utplånas när de behandlas innebär att uppgifterna inte längre finns. Det kan även innebära att uppgifterna inte längre finns när de är i ett format som operatören inte kan använda eller om uppgifterna finns, men operatören inte längre har tillgång till dem.

Exempel

  • Uppgifter skrivs över utan att operatören har möjlighet att återskapa dem genom till exempel säkerhetskopiering. Detta kan inträffa av misstag i samband med ett felaktigt förändringsarbete, såsom vid byte av teknisk plattform för ett it-system eller vid mjukvaruuppdatering.
  • Operatören kan inte tillfälligt komma åt uppgifter (temporär förlust). Detta kan exempelvis inträffa till följd av en överbelastningsattack.

Oavsiktlig eller otillåten ändring

Uppgifter som behandlas oavsiktligt eller otillåtet ändras innebär att uppgifterna inte längre är korrekta eller är ofullständiga.

Exempel

  • Handhavandefel i kundtjänst.
  • Felaktigt förändringsarbete som leder till att uppgifter i en databas ändras. De ändrade uppgifterna ligger sedan till grund för abonnentfakturering, vilket resulterar i att abonnenter får betala felaktiga belopp.

Otillåtet avslöjande eller otillåten åtkomst

Otillåtet avslöjande eller åtkomst till uppgifter som behandlas innebär att uppgifterna har röjts till någon som inte är behörig att ta del av dem.

Exempel

  • Anställd som inte är behörig kopierar en databas med abonnentuppgifter.
  • Felaktigt förändringsarbete som leder till fel i överföringen av elektronisk kommunikation så att abonnenters SMS skickas till fel mottagare.
  • Operatörens återförsäljare lämnar ut en abonnents samtalshistorik till någon som uppger sig för att vara närstående till abonnenten, utan att fullmakt föreligger.
  • Abonnent får obehörigen tillgång till en annan abonnents uppgifter till följd av brister i till exempel webbaserade självbetjäningstjänster.

Vilka uppgifter omfattas?

Uppgifter ska normalt röra eller kunna hänföras till en abonnent eller användare för att omfattas. Det är uppgifter såsom:

  • innehållet som överförs i kommunikationstjänsten
  • abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som kan kopplas till den överförda informationen, till abonnemangsinnehavare eller till de användare som kommunicerar.

Vad menas med behandling?

Med behandling avses till exempel insamling, registrering, lagring, överföring och bearbetning.

Uppgifterna behandlas många gånger av operatörens kundtjänst eller it-avdelning, men även av andra verksamheter, såsom nätövervakningscentral, marknadsavdelning och underleverantörer. Behandlingen sker i till exempel databaser, katalogtjänster, routrar, switchar, servrar, aktiva fysiska förbindelser och i media converters.

Operatören är skyldig att hantera och rapportera samtliga inträffade integritetsincidenter inom bolagets verksamhet, oaktat om den bedrivs i egen regi eller inte.

Samlingsbegreppet som PTS använder för behandlade uppgifter är ”informationsbehandlingstillgång”.

Vad innebär ”I samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst”?

Behandlingen av uppgifter ska ha skett i samband med att operatören tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst. Detta innebär inte nödvändigtvis att alla uppgifter som en operatör behandlar omfattas. Uppgifter som enbart hanteras inom eller för att stödja företagets interna processer eller tjänster som är fristående från tillhandahållandet av kommunikationstjänsten, omfattas inte.

Vem är skyldig att rapportera integritetsincidenter och underrätta berörda användare?

Alla som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster, med andra ord operatörer, är skyldiga att rapportera integritetsincidenter till PTS samt att underrätta de användare som berörs negativt av incidenten.

Skyldigheten att rapportera integritetsincidenter gäller även om operatören använder en annan leverantör för att utföra delar av tjänsten. Den andra leverantören är skyldig att omedelbart informera operatören i händelse av en integritetsincident, men det är operatören, som har ett direkt kontraktsförhållande med slutanvändaren, som är rapporteringsskyldig.

Vilka integritetsincidenter ska rapporteras och till vem?

Som utgångspunkt ska alla integritetsincidenter rapporteras både till PTS och till berörda användare.

Under rubriken "Vad är en integritetsincident?" förklarar vi de olika begreppen för att förtydliga vad som är en integritetsincident.

När och hur ska operatörer rapportera till PTS?

När och hur operatörer ska rapportera incidenter till PTS framgår av EU-kommissionens förordning, inte av lagen om elektronisk kommunikation (LEK). I EU-förordningen används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

Senast 24 timmar efter upptäckt

Den obligatoriska rapporteringsskyldigheten innebär att operatören självmant ska lämna en rapport till PTS senast 24 timmar efter det att integritetsincidenten upptäcks. En integritetsincident ska betraktas som upptäckt av operatören när denne är medveten om att en incident har inträffat. Det är inte nödvändigt att alla omständigheter om incidenten är klarlagda för att den ska anses vara upptäckt.

Delrapporter vid större incidenter

Vid större incidenter som tar tid att utreda, kan operatören lämna flera delrapporter till PTS. En inledande rapport ska alltid lämnas senast 24 timmar efter att incidenten har upptäckts, oavsett hur mycket information som operatören har om händelsen Ytterligare uppgifter kan lämnas i en kompletterande rapport. Denna rapport ska lämnas till PTS så snart som det är möjligt, dock senast tre dagar efter den inledande rapporten.

Undantag från tre-dagars-regeln

Om operatören inte kan ta fram alla uppgifter inom tre dagar, ska operatören lämna en välgrundad motivering till detta tillsammans med en rapport som innehåller alla tillgängliga uppgifter. Operatören ska därefter lämna resterande uppgifter och, om det är nödvändigt, uppdateringar av redan lämnade uppgifter, så snart det är möjligt.

Rapporten till PTS ska innehålla de uppgifter som beskrivs under avsnittet ”Vad ska incidentrapporten innehålla?”.

Vad ska incidentrapporten innehålla?

Operatörens incidentrapport till PTS ska innehålla följande information:

  • Tidpunkt för incidenten samt upptäckt av incidenten
  • Antal berörda abonnenter eller användare
  • Omständigheter kring incidenten; vad som inträffat, orsaker och konsekvenser
  • Åtgärder som operatören har vidtagit
  • Medverkan av andra tjänsteleverantörer
  • Medverkan eller påverkan på användare i andra länder
  • Referensnummer
  • Kopia på underrättelsen som har lämnats till berörda användare

Tidpunkt för incidenten samt upptäckt av incidenten

Tidpunkterna för när integritetsincidenten inträffade och upptäcktes ska anges i rapporten. Om incidenten rör ett tekniskt system bör det gå att fastställa relativt exakt när en integritetsincident inträffade med stöd av uppgifter från system för övervakning och loggning. Om så inte är fallet får istället en uppskattning göras med utgångspunkt från de fakta om incidenten som operatören kan fastställa i sin utredning. Utöver tidsangivelsen bör operatören redogöra för hur uppgifterna har fastställts.

Det är inte ovanligt att händelseförloppet för en incident kan delas in i flera steg. Även arbetet med att åtgärda en incident kan ske i flera steg. I dessa fall bör operatören ange tidpunkten för varje relevant händelse i samband med integritetsincidentens uppkomst och avhjälpande.

Antal berörda abonnenter eller användare

En integritetsincident berör normalt alltid minst en abonnent eller användare. Det är oftast relativt enkelt att fastställa vilka och hur många dessa är. I dessa fall ska antalet anges i rapporten.

Det kan förekomma incidenter där det inte är möjligt att fastställa ett exakt antal. Operatören bör då istället beskriva konsekvenserna i andra termer, som ger en tydlig bild av omfattningen.

Omständigheter kring incidenten; vad som inträffat, orsaker och konsekvenser

Incidentens komplexitet avgör hur omfattande beskrivningen behöver vara. Det som normalt bör framgår är

  • hur incidenten har uppstått, 
  • vilka elektroniska kommunikationstjänster som är berörda,
  • vilka slags uppgifter om abonnenter eller användare, till exempel vilka abonnent- eller trafikuppgifter som omfattas,
  • vilka tekniska system som eventuellt har påverkat eller påverkats av incidenten.

I beskrivningen ska det framgå vad som är den grundläggande orsaken till integritetsincidenten (till exempel brister i organisation eller processer, tekniska fel i system, misstag eller uppsåtligt felaktigt agerande). Eventuella bidragande orsaker ska också anges så att det av beskrivningen tydligt framgår hur den aktuella integritetsincidenten kunde uppkomma.

Det är även viktigt att beskriva hur incidenten har påverkat abonnenter eller användare. Beskrivningen ska göras utifrån abonnenternas perspektiv, till exempel vilken personlig information som berörs och på vilket sätt.
Om incidenten bedöms ha haft en negativ inverkan på abonnenter eller användare ska det beskrivas på vilket sätt dessa kan ha påverkats negativt.

Åtgärder som operatören har vidtagit

Operatören ska redogöra för vilka åtgärder som har vidtagits för att lindra effekterna av incidenten. Företaget ska även beskriva tillfälliga och permanenta åtgärder som har vidtagits eller som planeras för att åtgärda grundorsaken och de bidragande orsakerna till integritetsincidenten. Det kan till exempel röra sig om förändrade rutiner, uppdatering av felaktig mjukvara eller förstärkning av tekniska säkerhetsåtgärder.

Efter att en integritetsincident har inträffat och avhjälpts är det väsentligt att händelsen analyseras i syfte att finna eventuella förbättringsåtgärder som kan minska risken för att incidenter ska kunna uppkomma på grund av liknande orsaker i framtiden. I operatörens redogörelse bör det framgå, dels vilka åtgärder som redan har vidtagits och när så skedde, dels vilka åtgärder som planeras framöver och när de ska vara genomförda.

Medverkan av andra tjänsteleverantörer

Om operatören har använt sig av en extern leverantör för att tillhandahålla en del av en tjänst är operatören skyldig att se till att leverantören omedelbart informerar operatören om inträffade incidenter. Eventuella leverantörers medverkan vid incidenter ska anges i operatörens rapport till PTS.

Information till berörda abonnenter eller användare

När ska berörda abonnenter eller användare underrättas?

När och hur operatörer ska underrätta berörda abonnenter eller användare framgår av EU-kommissionens förordning, inte av lagen och elektronisk kommunikation (LEK). Läs mer i EU-förordning nr 611/2013.

I EU-förordningen används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

Operatörens underrättelse till berörda abonnenter eller användare ska lämnas utan onödigt dröjsmål efter att integritetsincidenten upptäckts.

Operatören bedömer själv i varje enskilt fall vilket dröjsmål som inte är ”onödigt”. Vid bedömningen bör operatören beakta användarnas intresse av och möjlighet att själva vidta åtgärder för att begränsa sin skada.

Det kan i vissa fall vara motiverat att informera direkt efter att integritetsincidenten har upptäckts och en preliminär bedömning av konsekvenserna är gjord. Skulle det senare visa sig att den preliminära bedömningen är felaktig, får uppdaterad och korrigerad information lämnas i en ny rapport.

Om operatören bedömer att incidenten kan antas inverka menligt på både abonnent och användare ska operatören underrätta båda. Detta kan till exempel bli aktuellt vid företagsabonnemang där ett bolag är abonnent men dess anställda är användare av abonnemangen.

Operatören ska underrätta abonnenter eller användare oavsett om det finns några reella möjligheter för dem att begränsa sin egen skada eller inte. Underrättelsen ska formuleras tydligt och lättbegripligt. Den ska endast innehålla information om själva incidenten och inte kopplas till information om andra ämnen.

Om operatören bedömer att en abonnent eller användare inte behöver underrättas om integritetsincidenten ska operatören motivera sin bedömning i rapporten till PTS. PTS kan komma att göra en annan bedömning.

Hur ska berörda abonnenter eller användare underrättas?

Underrättelserna ska lämnas till berörda abonnenter eller användare på ett sätt som säkerställer att informationen snabbt kan tas emot och att den skyddas på lämpligt sätt.

  • Operatören bör använda någon av de kommunikationskanaler som brukar användas för att kommunicera med abonnenterna eller användarna.
  • Det är viktigt att operatören säkerställer att informationen verkligen når fram.
  • Vilken kommunikationsform som används bör också vara beroende av hur brådskande det är att informationen når fram till abonnenten eller användaren.
  • I vissa fall kan det även vara lämpligt att lämna samma information parallellt via flera kanaler.

Undantag från skyldigheten att underätta abonnenter eller användare

Det finns undantag från skyldigheten att underrätta berörda abonnenter eller användare. De behöver inte underrättas om

  • integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna, eller
  • om operatören har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, till exempel genom kryptering eller hashning av uppgifterna.

När operatören bedömer om en integritetsincident kan antas inverka negativt på abonnenter eller användare ska särskild hänsyn tas till följande:

  • Uppgifternas art och innehåll; i synnerhet om de avser finansiell information, känsliga personuppgifter (uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening), lokaliseringsuppgifter, internetloggar, webbläsarhistorik, uppgifter om e-post eller specificerade samtalslistor.
  • Integritetsincidentens troliga konsekvenser för abonnenterna eller användarna; i synnerhet om incidenten skulle kunna leda till identitetsstöld eller bedrägeri, fysisk skada, psykiska men, förödmjukelse eller skadat rykte.
  • Omständigheterna kring integritetsincidenten; i synnerhet om uppgifterna har stulits eller om operatören vet att uppgifterna finns hos en obehörig tredje part.

Om operatören bedömer att en incident kan antas inverka menligt på både en abonnent och en användare ska operatören underrätta båda om incidenten.

Om operatören bedömer att abonnenter eller användare inte behöver underrättas om integritetsincidenten ska operatören motivera sin bedömning i rapporten till PTS. PTS kan komma att göra en annan bedömning.

Vad ska berörda användare underrättas om?

Användare som berörs av integritetsincidenten ska få följande information:

  • Tidpunkt för incidenten 
  • Vad som inträffat och vilka konsekvenser incidenten har fått
  • Åtgärder som operatören har vidtagit
  • Rekommendationer – vad kan användaren göra
  • Kontaktuppgifter till operatören

Tidpunkt för incidenten

Tiden som anges bör vara relevant ur användarens perspektiv, till exempel datumet när en obehörig fick åtkomst till eller tog del av uppgifterna.

Vad som inträffat och vilka konsekvenser incidenten har fått

Incidenten ska beskrivas på ett sådant sätt att användarna kan bedöma vilka eventuella åtgärder som är nödvändiga eller lämpliga att vidta till följd av incidenten. Operatören ska förklara vad som har hänt och hur det inträffade påverkar användarna.

Det är oftast inte nödvändigt att beskriva incidenten i tekniska termer, utan istället beskriva vad incidenten kan innebära för användarna. Om det är svårt att bedöma vilka konsekvenser incidenten kan få för användarna, bör användarna uppmanas att själv fundera över vilka konsekvenser det som inträffat kan få för dem.

Informationen ska så långt som möjligt anpassas efter varje användare som berörs av integritetsincidenten. Underrättelsen ska beskriva vilka slags uppgifter, till exempel vilka abonnent- eller trafikuppgifter, som berörs av integritetsincidenten samt innehållet i dessa uppgifter.

Åtgärder som operatören har vidtagit

Vidtagna åtgärder som påverkar abonnenter eller användare
Underrättelsen ska beskriva de åtgärder som operatören har vidtagit eller planerar att vidta som kan påverka berörda användare. Det ska framgå varför åtgärderna vidtas, vad operatören förväntar sig att uppnå med åtgärderna och på vilket sätt användarna påverkas av dem.

I första hand bör beskrivningen omfatta åtgärder som har direkt koppling till den inträffade integritetsincidenten och dess konsekvenser, men det kan vara lämpligt att även beskriva hur operatören arbetar på länge sikt för att undvika att liknande incidenter inträffar igen.

Rekommendationer – vad kan användaren göra

Om operatören kan identifiera en åtgärd eller flera åtgärder som abonnenter eller användare kan vidta för att begränsa sin skada till följd av integritetsincidenten, så ska dessa åtgärder beskrivas i underrättelsen. Beskrivningen ska vara tydlig och lättbegriplig.

Har en integritetsincident inträffat där operatören gör bedömningen att abonnenterna eller användarna inte kan vidta några egna åtgärder för att begränsa eller hantera skadan så bör även detta tydligt anges och förklaras.

Kontaktuppgifter till operatören

Underrättelsen ska innehålla information om hur abonnenter och användare kan komma i kontakt med operatören i frågor som rör incidenten. Incidentens referensnummer ska anges.