Rapportera integritetsincidenter

Enligt 6 kap. 4 a § lagen (2003:389) om elektronisk kommunikation är operatörer skyldiga att rapportera inträffade integritetsincidenter till PTS och till berörda abonnenter eller användare.

När och hur rapportering ska ske och vad rapporterna ska innehålla framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Observera att i EU-förordningen används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

För att beskriva hur rapporteringen ska ske har PTS tagit fram följande text som illustrerar hur reglerna kan tillämpas. Texten ska dock inte betraktas som ett förhandsbesked om vilka bedömningar PTS kan komma att göra i ett enskilt ärende.

arrow Vad är en integritetsincident?

En integritetsincident är enligt definitionen i LEK en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.

Som framgår omfattar begreppet, enligt sin ordalydelse, många olika slags händelser av varierande dignitet. Det finns dock några faktorer som operatörer bör beakta i sin bedömning av om en inträffad händelse utgör en integritetsincident som ska rapporteras.

För att en integritetsincident ska anses ha inträffat krävs att händelsen har samband med behandling av uppgifter. Med behandling avses t.ex. insamling, registrering, lagring och bearbetning. Behandlingen ska ha skett i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst, vilket innebär att det inte nödvändigtvis är alla uppgifter som en operatör behandlar som berörs. Uppgifter som enbart hanteras inom eller för att stödja företagets interna processer eller tjänster som är fristående från tillhandahållandet av kommunikationstjänsten omfattas alltså inte.

De typer av uppgifter som framför allt omfattas är dels

  • det innehåll som överförs i kommunikationstjänsten,
  • dels de abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som kan kopplas till den överförda informationen, till abonnemangsinnehavare eller till de användare som kommunicerar.

I nedanstående tabell framgår (med röd markering) vilka förfaranden med uppgifterna som omfattas av begreppet integritetsincident.

Uppgifterna ska normalt röra eller kunna hänföras till en abonnent eller användare för att omfattas.

En avgränsande faktor är också att skyldigheten att rapportera integritetsincidenter bör ses i ljuset av kraven på att operatörer ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlade uppgifter skyddas, reglerna om tystnadsplikt för vissa uppgifter samt övriga regler om hur uppgifter får behandlas i LEK. Operatörerna har således en skyldighet att skydda uppgifterna. Det innebär att de händelser som faller inom begreppet integritetsincident bör ha en koppling till en sådan teknisk eller organisatorisk åtgärd som operatören är skyldig att vidta eller till någon av de övriga reglerna om integritetsskydd. T.ex. bör inte enbart det faktum att uppgifter behandlats i strid med en intern föreskrift hos operatören, som inte kan kopplas till den lagstadgade skyldigheten att skydda uppgifterna, innebära att behandlingen utgör en integritetsincident.

För att det ska vara en integritetsincident krävs att en faktisk händelse som har inträffat.

Slutligen bör frågan om när en integritetsincident kan sägas ha inträffat beaktas. Enligt definitionen utgör en incident ”en händelse som leder till…” ett visst förfarande med de berörda uppgifterna. Detta torde innebära att begreppet integritetsincident endast innefattar situationer där dessa förfaranden faktiskt har inträffat En händelse som t.ex. inneburit en risk för att vissa uppgifter hamnar i otillåtna händer men där operatören löst den underliggande bristen i tid, innan någon obehörig hunnit få åtkomst till informationen, torde alltså normalt inte betraktas som en  integritetsincident.  En integritetsincident ska betraktas som upptäckt av operatören, när denne är medveten om att en incident har inträffat och att incidenten berör sådana uppgifter som omfattas av bestämmelsen enligt ovan. Det är inte nödvändigt att alla omständigheter om incidenten är klarlagda för att den ska anses vara upptäckt.

Exempel 1

Exempel 2

arrow Varför ska integritetsincidenter rapporteras?

Ett tillförlitligt och säkert utbyte av information via elektroniska kommunikationsnät och elektroniska kommunikationstjänster blir alltmer centralt i samhället.   PTS har till uppgift att främja tillgången till säkra och effektiva elektroniska kommunikationer och utövar tillsyn över regler om bl.a. integritetsskydd i lagen (2003:389) om elektronisk kommunikation (LEK).

Integritetsincidenter utgör potentiellt ett allvarligt hot mot tilltron till elektroniska kommunikationstjänster. Om information, t.ex. personuppgifter, som behandlats inom ramen för en elektronisk kommunikationstjänst sprids till utomstående eller går förlorad kan det få allvarliga konsekvenser. Om sådana händelser inte hanteras på ett lämpligt sätt kan det leda till att individer råkar ut för såväl ekonomisk skada som personlig kränkning.

Skyldigheten för operatörer att rapportera integritetsincidenter syftar till att ge PTS ett underlag för att kunna bedöma om det finns anledning att misstänka att bestämmelserna om integritetsskydd inte efterlevs och i sådana fall möjliggöra för PTS att vidta lämpliga tillsynsåtgärder. Även i de fall en rapport inte ger upphov till direkta tillsynsåtgärder kan den innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till incidenter m.m. Den kan därmed komma att utgöra en viktig grund för myndighetens långsiktiga arbete för att främja integritetsskyddet i de elektroniska kommunikationerna.

arrow Vem är skyldig att rapportera integritetsincidenter?

Reglerna gäller för alla som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. En elektronisk kommunikationstjänst är en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät.

För mer information om innebörden av dessa begrepp, se anmälningsplikt för operatörer.

arrow Vilka integritetsincidenter ska rapporteras och till vem?

Som utgångspunkt ska samtliga integritetsincidenter rapporteras till både PTS och till berörda abonnenter eller användare. Dessutom ska samtliga integritetsincidenter föras in i en förteckning hos operatören som ska uppdateras löpande.

Undantag från rapporteringsskyldigheten

När det gäller rapportering till berörda abonnenter eller användare så finns undantag från skyldigheten. Rapport till dessa behöver inte lämnas

- om integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna

eller

- om tjänstetillhandahållaren har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, t.ex. genom kryptering eller hashning av uppgifterna.

Vid bedömningen av om en integritetsincident kan antas inverka negativt på abonnenterna eller användarna ska operatören särskilt ta hänsyn till:

  1. Uppgifternas art och innehåll; i synnerhet om de avser finansiell information, känsliga personuppgifter (uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening), lokaliseringsuppgifter, internetloggar, webbläsarhistorik, uppgifter om e-post eller specificerade samtalslistor.
  2. Integritetsincidentens troliga konsekvenser för abonnenterna eller användarna; i synnerhet om incidenten skulle kunna leda till identitetsstöld eller bedrägeri, fysisk skada, psykiska men, förödmjukelse eller skadat rykte.
  3. Omständigheterna kring integritetsincidenten; i synnerhet om uppgifterna har stulits eller om operatören vet att uppgifterna finns hos en obehörig tredje part.

arrow När och hur ska rapportering ske till PTS?

Rapporterna om integritetsincidenter ska i första hand utgöra ett underlag för PTS vid bedömningen om operatören bedriver sin verksamhet i enlighet med bestämmelserna om integritetsskydd i LEK och om det finns anledning att vidta tillsynsåtgärder till följd av den inträffade händelsen. För att kunna göra en sådan bedömning behöver PTS information om vad som har skett, omfattningen och konsekvenserna av incidenten samt vilka åtgärder som vidtagits för att förhindra liknande incidenter i framtiden.

Den obligatoriska rapporteringsskyldigheten innebär att operatören självmant ska lämna en rapport till PTS senast 24 timmar efter det att integritetsincidenten upptäcks. I vissa fall, t.ex. vid större incidenter som tar tid att utreda, ska istället operatören lämna flera delrapporter till PTS. En inledande rapport ska alltid lämnas senast 24 timmar efter att incidenten upptäcks och, om operatören vid denna tidpunkt ännu inte har tillgång till alla uppgifter om incidenten, ska resterande uppgifter lämnas i en kompletterande rapport så snart som möjligt, dock senast tre dagar efter den inledande rapporten. Om operatören genom sitt utredningsarbete inte har kunnat ta fram alla uppgifter inom tre dagar ska operatören lämna en välgrundad motivering till detta tillsammans med en rapport som innehåller alla då tillgängliga uppgifter. Operatören ska därefter lämna resterande uppgifter och, om det är nödvändigt, uppdateringar av redan lämnade uppgifter, så snart det är möjligt.

arrow Vad ska rapporterna innehålla?

 När integritetsincidenten inträffade och upptäcktes

När en incident rör ett tekniskt system bör en operatör många gånger, med stöd av uppgifter från system för övervakning eller loggning, kunna fastställa relativt exakt när en integritetsincident inträffade. När så inte är fallet får istället en uppskattning göras med utgångspunkt från de fakta om incidenten som operatören kan fastställa i sin utredning. Utöver tidsangivelsen bör operatören i rapporten redogöra för hur uppgifterna har fastställts.

Det är inte ovanligt att händelseförloppet för en incident kan delas in i flera steg. Även arbetet med att åtgärda en inträffad incident kan ske i flera steg. I dessa fall bör operatören i rapporten ange tidpunkten för varje sådan relevant händelse i samband med integritetsincidentens uppkomst och avhjälpande. Tidpunkten för när integritetsincidenten upptäcktes ska också anges i rapporten.

Antal berörda abonnenter eller användare

En integritetsincident bör normalt alltid beröra minst en abonnent eller användare. I många fall bör det vara relativt enkelt för operatören att fastställa vilka och hur många dessa är. I dessa fall ska antalet anges i rapporten. Det kan dock förekomma incidenter där det inte är möjligt att fastställa ett exakt antal men i dessa fall bör operatören istället beskriva konsekvenserna i andra termer, som ger en tydlig bild av omfattningen.

Beskrivning av integritetsincidenten, dess orsaker och konsekvenser

Beroende på incidentens komplexitet kan beskrivningen behöva vara allt från mycket kortfattad till mycket omfattande. Berörda elektroniska kommunikationstjänster bör normalt anges. I de fall incidenten involverar vissa tekniska system bör även dessa beskrivas. Likaså vilka kategorier av abonnenter eller användare som berörs av incidenten. Har viss personal varit bidragande till eller inblandad i incidentens förlopp bör även detta anges.

Beskrivningen ska också innehålla information om vilka slags uppgifter om abonnenter eller användare, t.ex. vilka abonnent- eller trafikuppgifter, som har berörts av incidenten.

Normalt bör den grundläggande orsaken till integritetsincidenten anges i beskrivningen. Exempel på sådana grundläggande orsaker kan vara brister i organisation eller processer, tekniska fel i system, mänskliga misstag eller uppsåtligt felaktigt agerande. Utöver den grundläggande orsaken bör även bidragande orsaker anges så att det av beskrivningen tydligt framgår hur den aktuella integritetsincidenten kunde uppkomma.

Konsekvenserna av incidenten bör dels beskrivas i tekniska termer (i de fall tekniska system är inblandade) och dels i termer av hur abonnenter eller användare har berörts av incidenten. Den tekniska beskrivningen bör vara specifik och t.ex. ange att en viss angiven databas med ett visst angivet innehåll varit åtkomlig för obehöriga under vissa angivna omständigheter. Beskrivningen av hur abonnenter eller användare berörts bör istället ta sikte på att beskriva konsekvenserna ur deras perspektiv, t.ex. vilken personlig information som berörs och på vilket sätt. I de fall incidenten bedöms ha haft en negativ inverkan på abonnenter eller användare ska beskrivas på vilket sätt dessa kan ha påverkats negativt.

Åtgärder för att avhjälpa brister och för att undvika liknande incidenter

Operatören ska redogöra för vilka åtgärder som har vidtagits för att lindra effekterna av incidenten. Vidare ska operatören redogöra för de tillfälliga och permanenta åtgärder som har vidtagits eller som planeras för att åtgärda grundorsaken och de bidragande orsakerna till integritetsincidenten. Det kan t.ex. röra sig om förändrade rutiner på företaget, uppdatering av felaktig mjukvara eller förstärkning av tekniska säkerhetsåtgärder.

Efter att en integritetsincident har inträffat och avhjälpts är det väsentligt att händelsen analyseras i syfte att finna eventuella förbättringsåtgärder som kan minska risken för att incidenter ska kunna uppkomma på grund av liknande orsaker i framtiden. I vissa fall kan åtgärder vidtas relativt omgående i samband med incidenten medan det i vissa fall krävs en långsiktig åtgärdsplan. I operatörens redogörelse bör det framgå, dels vilka åtgärder som redan vidtagits och när så skedde, dels vilka åtgärder som planeras framöver och när de enligt planen kommer att vidtas.

Medverkan av andra tjänsteleverantörer

I de fall operatören har använt sig av en extern leverantör för att tillhandahålla en del av en tjänst är operatören skyldig att genom avtal eller annan utfästelse se till att leverantören omedelbart informerar operatören om inträffade incidenter som berör denna leverantör. Andra leverantörers medverkan vid incidenter ska sedan anges i rapporten från operatören till PTS. Det bör där beskrivas vilken leverantör som berörts och på vilket sätt leverantören har medverkat till eller påverkats av incidenten.

Medverkan eller påverkan på abonnenter eller användare i andra länder

Om en integritetsincident även berör abonnenter eller användare i andra länder ska rapporten innehålla uppgift om vilket eller vilka länder. Dessutom ska rapporten innehålla uppgift om vilka myndigheter i dessa länder som incidenten har anmälts till.

Referensnummer

Vid all rapportering som rör en och samma integritetsincident bör operatören ange ett referensnummer för incidenten. Detta nummer bör vara kopplat till operatörens förteckning över integritetsincidenter. Orsaken till detta är bland annat att PTS, vid en eventuell tillsyn, enkelt ska kunna erhålla all information som operatören har om en viss angiven integritetsincident. I rapporter som lämnas om integritetsincidenter ska operatören dessutom lämna uppgift om en kontaktperson, som kan vara PTS behjälplig med ytterligare information om incidenten.

Utöver den rapport som är ställd till PTS och som beskrivs ovan, ska operatören också lämna kopior till PTS på de rapporter som skickats till berörda abonnenter eller användare. Se mer om detta nedan.

Rapporten ska skickas till PTS elektroniskt via PTS e-tjänst för incidentrapportering, eller till e-postadressen incidentrapport@pts.se.