IMY utfärdar sanktionsavgift mot Statens servicecenter

Integritetsskyddsmyndigheten har granskat Statens servicecenter efter att ha tagit emot flera anmälningar om en personuppgiftsincident som rör en felaktighet i Statens servicecenters system för lönehantering. Felaktigheten innebar att obehöriga kunde komma åt dels personuppgifter från myndigheter som anlitar servicecentret för sin lönehantering, dels personuppgifter som rörde servicecentrets egen personal.

- Vår granskning visar att Statens servicecenter dröjt för länge med att underrätta de berörda myndigheterna samt att för egen del göra en incidentanmälan till Integritetsskyddsmyndigheten. Dessutom var dokumentationen av incidenten som drabbade den egna personalen otillräcklig, säger Elin Hallström som lett Integritetsskyddsmyndighetens granskning.

Integritetsskyddsmyndigheten konstaterar att servicecentret dröjt närmare fem månader med att underrätta de berörda myndigheterna om incidenten och närmare tre månader med att rapportera personuppgiftsincidenten till Integritetsskyddsmyndigheten.

- När en incident av det här slaget upptäcks är det viktigt att snarast informera de personuppgiftsansvariga, så att de i sin tur kan göra en anmälan till Integritetsskyddsmyndigheten och vidta eventuella åtgärder för att minimera riskerna med incidenten. Här har servicecentret brustit.

I sitt beslut förelägger Integritetsskyddsmyndigheten Statens servicecenter att ta fram rutiner för dokumentation av personuppgiftsincidenter och se till att rutinerna efterlevs. Integritetsskyddsmyndigheten utfärdar även en sanktionsavgift på sammanlagt 200 000 kronor mot servicecentret.

Läs Integritetsskyddsmyndighetens beslut i pdf-format (pdf, 192 kB)

Läs Integritetsskyddsmyndighetens rapport över de incidenter som rapporterades 2019 (pdf, 9 MB)

För mer information kontakta

Jurist Elin Hallström, telefon 08-657 61 13

Presskontakt Per Lövgren, telefon 08-515 15 415