Viktigt att rapportera när händelser inträffar
Trots säkerhetsåtgärder kan det inträffa händelser som leder till att integritetsuppgifter inte skyddas. Det kan ske genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet agerande hos dig som operatör.
Incidentrapporterna hjälper både oss på PTS och er operatörer att samla kunskap och vidta åtgärder så att liknande händelser inte ska inträffa igen.
Rapportera utan dröjsmål
När en integritetsincident inträffar ska du som operatör utan onödigt dröjsmål informera oss på PTS. Om incidenten skulle kunna ha negativ påverkan på kunder eller andra användare negativt, ska du även informera dessa utan onödigt dröjsmål.
Det är viktigt att du säkerställer att informationen om incidenten snabbt kan tas emot och att den skyddas på lämpligt sätt.
Du ska självmant lämna en rapport till oss, senast 24 timmar efter det att du har upptäckt integritetsincidenten.
Rapportera först och komplettera i efterhand
Om det har inträffat en större incident som tar tid att utreda, kan du lämna flera delrapporter till oss. Du ska alltid skicka en inledande rapport senast 24 timmar efter att incidenten har upptäckts, oavsett hur mycket information du har om händelsen.
Du kan sedan lämna in en kompletterande rapport med ytterligare uppgifter. Denna rapport ska du lämna till PTS så snart som det är möjligt, dock senast tre dagar efter den inledande rapporten.
Om du inte kan ta fram alla uppgifter inom tre dagar, måste du lämna en välgrundad motivering tillsammans med en rapport, som innehåller de uppgifter som du känner till.
Du ska sedan lämna resten av uppgifterna, och eventuella uppdateringar , så snart det är möjligt.
Så gör du för att rapportera en incident
Skicka en blankett för att rapportera integritetsincident till PTS. Blanketten skickas till e-post: incidentrapport@pts.se.
Blankett för att rapportera integritetsincident
Det här är en integritetsincident
Det finns några kriterier för att avgöra om något är en integritetsincident.
Kriterier med exempel.
Uppgifter går förlorade eller kan inte användas
- Uppgifter skrivs över utan att du har möjlighet att återskapa dem genom till exempel säkerhetskopiering. Detta kan inträffa av misstag i samband med ett felaktigt förändringsarbete, såsom vid byte av teknisk plattform för ett it-system eller vid mjukvaruuppdatering.
- Du kan inte tillfälligt komma åt uppgifterna (temporär förlust). Detta kan exempelvis inträffa till följd av en överbelastningsattack.
Uppgifter som ändras så att de inte längre är korrekta
- Ett förändringsarbete går fel och leder till att uppgifter i en databas ändras. De ändrade uppgifterna ligger sedan till grund för abonnentfakturering, vilket resulterar i att abonnenter får betala felaktiga belopp.
Uppgifterna delas till någon som inte är behörig att ta del av dem
- En anställd som inte är behörig kopierar en databas med abonnentuppgifter.
- Din återförsäljare lämnar ut en abonnents samtalshistorik till någon som uppger sig för att vara närstående till abonnenten, utan att det finns en fullmakt.
- Abonnent får tillgång till en annan abonnents uppgifter.
Du kan behöva rapportera enligt flera regler
Enskildas personuppgifter skyddas av lagen om elektronisk kommunikation (LEK) och dataskyddsförordningen (GDPR).
- Om incidenten rör LEK ska du rapportera till PTS.
- Om det handlar om GDPR ska du rapportera incidenten till Integritetsskyddsmyndigheten (IMY).
Så avgör du vilket regelverk som är aktuellt
Det finns några saker att tänka på om du ska avgöra enligt vilken lag incidenten ska rapporteras.
LEK – uppgifter som överförs och lagras
LEK är en särskild lag som berör elektronisk kommunikation. Skyddet enligt LEK omfattar alla uppgifter som överförs, lagras eller på annat sätt behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.
När du som operatör behandlar uppgifter – personuppgifter eller andra uppgifter – i samband med att du erbjuder en elektronisk kommunikationstjänst så är det i första hand LEK som är tillämplig för skyddet av de uppgifter du behandlar. Skyddet avser både fysiska och juridiska personer.
GDPR – personuppgifter i allmänhet
GDPR är en allmän reglering som gäller behandling av personuppgifter. Den gäller för alla företag och organisationer.
GDPR rör de personuppgiftsincidenter som inte LEK reglerar.
Det är alltså bara om en incident inte ska rapporteras till oss enligt LEK som den ska rapporteras till Integritetsskyddsmyndigheten enligt GDPR.
Du behöver inte rapportera samma integritetsincident till båda myndigheterna.
Händelsen kan även vara en säkerhetsincident
Du kan även behöva rapportera den inträffade incidenten som en säkerhetsincident.
Det gäller om händelsen har haft betydande påverkan på nät eller tjänster utifrån någon av säkerhetsaspekterna tillgänglighet, riktighet, autenticitet eller konfidentialitet.
Säkerhetsskyddslagen
Incidenter kan även behöva rapporteras enligt säkerhetsskyddslagstiftningen.