Fel av SJ att använda riktiga personuppgifter vid test av IT-system

Datainspektionen tog emot ett klagomål där det gjordes gällande att SJ använt riktiga personuppgifter vid test av deras IT-system. Behandlingen innebar att det felaktigt hade tagits en kreditupplysning på en privatperson och att denne vid ett antal tillfällen fått biljetter och fakturor skickade till sig. SJ förklarade att detta bland annat berodde på att registreringar av misstag gjorts i produktionsmiljö istället för i testmiljön.

Datainspektionen konstaterade inledningsvis i sitt beslut från i september i år att SJ:s behandling av personuppgifter, som skedde i en testmiljö som var mycket lik den verkliga produktionsmiljön, utgjorde en sådan automatiserad behandling av personuppgifter som omfattades av personuppgiftslagen. Det innebar att personuppgiftslagens grundläggande krav på behandling måste följas. Av 9 § personuppgiftslagen framgår det att uppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

SJ uppgav att den information som lämnades till de personer som registrerade sina personuppgifter genom köp av biljett, medlemskap eller liknande bland annat specificerade att behandling av personuppgifterna kunde ske för att fullgöra SJ:s åtaganden mot kunden samt för att förbättra SJ:s service och tjänster.

Vid bedömningen av om behandlingen av personuppgifterna är oförenlig med ändamålet för vilket de samlades in kan man, enligt Datainspektionens uttalanden i beslutet, utgå från hur en registrerad typiskt skulle se på saken. Om den registrerade rimligen kunde förvänta sig den aktuella behandlingen, är det nya ändamålet inte oförenligt med det ursprungliga.

Att man behandlar personuppgifter i en testmiljö för att kontrollera att de behandlas korrekt i produktionsmiljön samt för att rätta till felaktiga personuppgifter, ansåg myndigheten har ett naturligt samband med det ursprungliga syftet med behandlingen (tillhandahållandet av tjänsten). För tester som görs för att utveckla nya system eller nya funktioner i befintliga system bedömdes sambandet emellertid vara svagare.

Vid sådana tester konstaterade Datainspektionen därför att man så långt som möjligt ska använda fingerade eller avidentifierade uppgifter för att säkerställa att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet. Om verkliga personuppgifter används ska inte fler personuppgifter användas än vad som är nödvändigt för att utföra testet. Vidare uttalades att produktionsmiljö och testmiljö ska vara tydligt åtskilda och att det ska finnas rutiner som säkerställer att de som utför testerna inte av misstag gör det i produktionsmiljön istället för testmiljön.

Med hänsyn till att SJ meddelat Datainspektionen att de uppdaterat instruktioner till de som testar systemen samt att de tagit bort länkar mellan testmiljön och produktionsmiljön för att förhindra att misstaget skulle upprepas, avslutades ärendet utan ytterligare åtgärder.

Datainspektionen uttalade i ett pressmeddelande med anledning av beslutet att i de situationer personuppgifter används i testmiljön gäller samma regler som i produktionsmiljön. Det innebär att instruktioner till användare, behörigheter, loggar, loggkontroller och IT-säkerhet ska gälla även för personuppgifter som behandlas i testmiljön.

Tillbaka till Frankly #5

Prenumerera på Frankly

Frankly ges ut en gång i månaden till dig som vill veta mer om vad som händer på Frank
och innehåller även artiklar om regler och lagar.

Vi använder cookies på denna webbplats för att ge dig en bättre upplevelse. En cookie är en textfil som sparas på din dator. Genom att använda vår webbplats accepterar du att cookies används. Läs mer om cookies här. Jag förstår