Att skicka ett mejl med personuppgifter till fel mottagare eller att skicka en lönebok till fel person kan bli ett dataintrång. personligt med rättsliga konsekvenser för egenföretagare och småföretag. Informationsplikten är en del av företagens ansvar att skydda kunders, anställdas eller leverantörers information och underlåtenhet att följa efterlevnaden kan leda till sanktioner.
I detta sammanhang påminde den spanska dataskyddsmyndigheten (AEPD) nyligen om att företag är skyldiga att anmäla dessa överträdelser till kontrollmyndigheten inom en viss tid. högst 72 timmar eftersom de är medvetna om att en säkerhetsincident har påverkat personuppgifter.
Som förklarat av Ana Vidaor Maristany, advokat i TMT-området i AGM Abogados, det finns inget behov av en cyberattack sofistikerade för att dessa skyldigheter ska uppstå. ”Situationer som är lika vanliga som att skicka ett e-postmeddelande med personlig information till fel mottagare, skicka känsliga dokument till fel person, eller förlora en enhet med data kan utgöra ett personuppgiftsintrång”, konstaterade han.
Vidare, även när verksamheten kommer fram till att incidenten inte utgör någon risk för de drabbade och beslutar att inte kommunicera det till AEPD, kräver regelverket att överträdelsen och den genomförda analysen ska dokumenteras internt. Denna dokumentation kommer att låta dig visa, i händelse av en inspektion, att den personuppgiftsansvarige korrekt utvärderade vad som hände och agerade med den noggrannhet som krävs enligt GDPR.
Många vardagliga misstag kan också utgöra ett dataintrång
En av de aspekter som egenföretagare och småföretag är mest omedvetna om är att det inte är nödvändigt att utsättas för en sofistikerad cyberattack för att ett personuppgiftsintrång ska inträffa. I praktiken kan många incidenter som inträffar i ett företags dagliga liv aktivera de skyldigheter som föreskrivs i General Data Protection Regulation (GDPR).
Som Ana Vidaor Maristany, en advokat inom TMT-området i AGM Abogados, förklarade, är ett personligt dataintrång ”varje säkerhetsincident som orsakar oavsiktlig eller olaglig förstörelse, förlust eller ändring av personuppgifter som behandlas av en ansvarig person, eller obehörig kommunikation eller åtkomst till dem.”
Detta innebär att till synes mindre situationer kan få juridiska konsekvenser såsom förlust av kontroll över skyddad information eller risken för att tredje part kommer åt den utan tillstånd. Advokaten betonade att den avgörande faktorn inte är incidentens sofistikerade, utan snarare dess potentiell påverkan. Bland de vanligaste exemplen som experten påpekade är:
- skicka ett mejl med personuppgifter till fel mottagare
- skicka en lönelista eller andra känsliga handlingar till en person som inte tillhör
- tillåta felaktig åtkomst till information från intern personal
- förlora enheter som en USB, en mobiltelefon, en bärbar dator eller dokumentation som innehåller personuppgifter.
För att bedöma svårighetsgraden av ett intrång, faktorer som arten av de berörda uppgifterna, dess nivå av smöjlighet, volym av komprometterad information eller möjlig konsekvenser för människors rättigheter och friheter.
Företag måste anmäla överträdelsen om det finns en risk för de som drabbas
När en säkerhetsincident inträffar som påverkar personuppgifter ska den personuppgiftsansvarige utvärdera vilken risknivå det kan generera för de som drabbas för att avgöra om det finns en anmälningsskyldighet överträdelsen till den spanska dataskyddsmyndigheten.
Som anges i artikel 33 i GDPR Företag är skyldiga att rapportera händelsen när det finns en sannolikhet att det kommer att påverka människors rättigheter och friheter. I så fall måste företaget meddela AEPD om överträdelsen i en högst 72 timmar från det att den som är ansvarig för behandlingen får kännedom av vad som hände. Enligt experten, denna period inkluderar helger och helgdagar.
Upptäckt av dessa incidenter kan inträffa omedelbart i vissa fall, till exempel när ett dokument skickas till fel mottagare. Men i andra fall – till exempel vid vissa datattacker eller identitetsstöldbedrägerier – kan incidenten ta längre tid att identifieras.
Av denna anledning betonade experten vikten av att företag implementerar goda säkerhetsrutiner och främjar personalutbildning för att upptäcka denna typ av situation så snart som möjligt.
Underlåtenhet att agera i tid kan förvärra ansvaret
För Vidaor Maristany är ett av de allvarligaste misstagen som vissa företag gör när de upptäcker ett dataintrång att inte reagera snabbt. Ibland, förklarade han, tenderar vissa chefer att tona ner vikten av händelsen eller att tro att konsekvenserna blir begränsade eftersom det är ett litet företag.
Dock detta Underlåtenhet att agera kan förvärra ansvaret av verksamheten. Ett dataintrång kan påverka individers rättigheter och friheter, så den personuppgiftsansvarige är skyldig att utvärdera händelsen och vidta nödvändiga åtgärder för att hantera den korrekt.
Ett annat vanligt misstag är att inte söka specialiserad rådgivning från första stund. Att fatta förhastade beslut eller utan teknisk kunskap kan leda till att bevis går förlorade, risk att bedömas felaktigt eller att anmälningstiden missas.
Även om intrånget inte anmäls ska det dokumenteras internt
Handlingsskyldigheten försvinner inte när företaget kommer fram till att händelsen inte utgör någon risk för de som drabbas. I dessa fall kan den som är ansvarig för behandlingen besluta att inte anmäla intrånget till AEPD eller kommunicera det till de inblandade, men regelverket kräver också att händelsen dokumenteras.
Som förklarat av AGM Abogados advokat måste alla säkerhetsöverträdelser registreras internt, även de som i slutändan inte anmäls till tillsynsmyndigheten. Denna dokumentation är en del av principen om proaktivt ansvar ingår i GDPR.
För att motivera beslutet att inte anmäla måste organisationen behålla minst en intern rapport analys av händelsen, beskriva vad som hände, vilken utredning som genomfördes, vilka åtgärder som vidtagits och varför man kom fram till att överträdelsen inte innebar en risk för de berördas rättigheter.
Dessutom måste incidenten registreras i företagets logg för säkerhetsintrång, vilket anger vilken data som kan ha äventyrats, hur många personer som kan ha drabbats och vad resultatet av riskbedömningen blev.
När kan ett dataintrång leda till en sanktion?
När ett personuppgiftsintrång inträffar, den spanska dataskyddsmyndigheten analyserar varje fall individuellt för att avgöra om det är lämpligt att arkivera akten, utfärda en varning eller utdöma en sanktion.
Som Vidaor Maristany förklarade, Alla organisationer – oavsett om det är ett stort företag, ett litet eller medelstort företag eller en egenföretagare – kan straffas om du inte uppfyller de skyldigheter som fastställts av RGPD. Bötesbeloppet kommer dock att bero på olika faktorer, såsom affärsvolymen, händelsens svårighetsgrad eller de försvårande eller förmildrande omständigheter som inträffar i varje enskilt fall.
Bland de vanligaste orsakerna som kan ge upphov till sanktioner är: avsaknad eller otillräcklighet av säkerhetsåtgärder, brist på adekvat riskbedömning eller underlåtenhet att meddela när detta var obligatoriskt.
Utredningar kan också inledas när en den drabbade personen lämnar in ett krav före AEPD. I många fall är det användarna själva som uppmärksammar myndigheten på eventuella oegentligheter, till exempel när de tar emot kommersiell kommunikation utan att ha gett sitt samtycke eller när deras uppgifter används för andra ändamål än de för vilka de samlades in.
På samma sätt kan byrån sanktionera när den personuppgiftsansvarige inte utövar tillräcklig kontroll om de leverantörer som hanterar personuppgifter för din räkning. Om incidenten inträffar hos en databehandlare och den personuppgiftsansvarige inte har vidtagit tillräckliga åtgärder för att övervaka sina handlingar, kan de också anses ansvariga.
Andra faktorer som kan förvärra situationen är inte ha dokumenterat gapet internt, saknar dataskyddspolicyer och protokoll, inte utbildar personalen tillräckligt eller inte tillämpar grundläggande tekniska åtgärder såsom åtkomstkontroller eller starka lösenord.
Sanktioner kan nå 10 miljoner euro eller 4 % av omsättningen
Att inte rapportera ett säkerhetsbrott inom den lagstadgade tidsfristen kan bli mycket dyrt för egenföretagare och småföretag. Som förklarats i två artiklar som redan har publicerats i detta medium, anser dataskyddsbestämmelserna att denna utelämnande är en allvarlig överträdelse, vilket kan leda till böter på upp till 10 miljoner euro eller 2 % av den globala årliga omsättningen beroende på vilken siffra som är högre.
Vidare kan straffet i de allvarligaste fallen höjas. Dessa böter kan uppgå till 20 miljoner euro och i I allvarligare fall kan straffavgiften uppgå till 4 % av omsättningen.
Som Vanesa Alarcón Caparrós, advokat vid AGM Abogados, förklarade i tidigare uttalanden, ”beror varje sanktion på den överträdelse som begåtts och dess svårighetsgrad. Normalt sett skulle underlåtenhet att anmäla utgöra ett allvarligt brott mot reglerna, men vi skulle behöva titta på detaljerna i varje fall.”
Egenföretagare, små och medelstora företag och stora företag omfattas av samma sanktionssystem, även om det slutliga beloppet beror på de specifika omständigheterna.
Dessa administrativa sanktioner från AEPD är oberoende av andra möjliga ansvarsområden. Specifikt kan de delta i subsidiärt civilrättsligt ansvar om händelsen orsakar skada för tredje part. Som Alarcón Caparrós påpekade kan böter utdömas på administrativ väg och samtidigt kan den drabbade personen hävda sina rättigheter i domstol.
Även om det är sant att dessa kränkningar De ordinerar efter två år. Efter denna period, även om det upptäcks att egenföretagaren eller det små och medelstora företaget inte anmälde dataangreppet, kan de inte längre straffas administrativt av denna anledning.
