Informationsskyldighet vid tillhandahållande av Minicall-tjänst



Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Exponerade fakturor på internet

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över säkerhetsarbete hos underleverantör

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn över dokumentation av tillgångar och förbindelser

Avbrott i bredbandstelefonitjänst

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Föreläggande att inkomma med uppgifter

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

(5)

Tillsyn över behandling av uppgifter

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Beslut om ändring av telefoninummerplanen

Säkerhetsbrister i kundplacerad utrustning

Vägledning om skyldigheten att rapportera integritetsincidenter

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsynsrapport: Informationskrav vid ändring av avtal

Ändring av telefoninummerplanen

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Säkerhetsbrister i kundplacerad utrustning

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Beslut om ändring av telefoninummerplanen

Förslag till beslut om ändring av telefoninummerplanen

Saken. PTS underrättelse

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Beslut om förbud enligt 12 radioutrustningslagen

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut att begränsa antalet tillstånd i 3,5 GHz- och 2,3 GHz-banden

Föreläggande vid vite

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Beslut om avskrivning

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om att Halebops villkor för registrering av kontantkort strider mot 5 kap. 9 lagen (2004:389) om elektronisk kommunikation (LEK).

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Ansökan om undantag från krav på reservkraft

Begränsningsbeslut avseende frekvensutrymmet 452,5 457,5/462,5 467,5 MHz

Beslut om förbud enligt 12 radioutrustningslagen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Vår referens Dnr:

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Datum Vår referens Aktbilaga Dnr:

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Förändringar i nya LEK

Innehåll Dnr: (5)

Saken. Post- och telestyrelsens avgörande BESLUT 1(5) Datum Vår referens Aktbilaga Dnr: Post- och telestyrelsen

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Dnr: (2) Postavdelningen Adrian Waltl. Tillsynsärende avseende Postnords rapportering av klagomål till PTS PROMEMORIA

Villkor enligt 2 kap. 4 postlagen (2010:1045).

Allokering och reservering av mobila nätkoder

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Begränsningsbeslut avseende / MHz

Beslut om ändring av telefoninummerplanen

Transkript:

BESLUT 1(5) Datum Vår referens Aktbilaga 2012-12-18 Dnr: 12-8689 18 Nätsäkerhetsavdelningen Karin Malmberg 08-678 56 04 Karin.Malmberg@pts.se Generic Mobile Systems Sweden AB Box 4023 131 04 Nacka Informationsskyldighet vid tillhandahållande av Minicall-tjänst Saken Tillsyn avseende rapportering av integritetsincident och avseende information om särskild risk vid tillhandahållande av Minicall-tjänster; nu fråga om avskrivning. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Den 8 juni 2012 inkom Generic Mobile Systems Sweden AB (Generic) med en incidentrapport till PTS vari bolaget informerade om att meddelanden i personsökningstjänsten Minicall sedan augusti 2010 avlyssnats, avkodats och publicerats i klartext på en publik webbplats. Minicall-tjänsten används enligt Generic till stor del av abonnenter inom Polisen, akutvården, räddningstjänsten och liknande samhällsviktiga aktörer. Den information som publicerades vid incidenten innehöll därför känsliga uppgifter såsom larminformation, information om pågående utryckningar, personuppgifter om sjukdomar etc. Mot bakgrund av incidentrapporten beslöt PTS den 18 september 2012 att inleda tillsyn mot bolaget. Inom ramen för tillsynen bereddes Generic tillfälle att vid möte med PTS närmare beskriva bland annat sin Minicall-tjänst och den inträffade integritetsincidenten. Generic uppgav då att Minicall använder ett protokoll som är en öppen standard för utsändning via radio och att det är tämligen enkelt att med hjälp av en scanner, dator och mjukvara avlyssna och avkoda protokollet och läsa alla meddelanden som förmedlas i tjänsten. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(5) Det framgick vidare att Generic inte informerat sina abonnenter om den risk för avlyssning och avkodning som är förenad med tillhandahållandet av Minicall-tjänsten. Generic hade inte heller informerat berörda abonnenter och användare om den ovan beskrivna incidenten. Den 9 oktober 2012 underrättade PTS Generic om att myndigheten funnit skäl att misstänka att bolaget inte efterlevde regleringen om rapportering av integritetsincidenter och om skyldigheten att informera abonnenter om särskilda risker för bristande skydd av behandlade uppgifter (nedan kallad Underrättelsen). I Underrättelsen uppmanades Generic att: 1. informera samtliga Minicall-abonnenter om den särskilda risk som är förenad med tillhandahållandet av Minicall, samt informera om hur och till vilken ungefärlig kostnad risken kan avhjälpas, och 2. informera berörda Minicall-abonnenter och användare om den integritetsincident som inträffat. Den 14 december 2012 inkom Generic med bekräftelse på att bolaget följt Underrättelsen och uppgav att bolaget nu informerar abonnenter om den särskilda risken med Minicall-tjänsten genom: - information på fakturan (vid fall då fakturarelation finns), - elektroniskt nyhetsbrev till abonnenter (vid fall då e-postadresser registrerats), - elektroniskt nyhetsbrev till återförsäljare, - information på Generics webbplats, både som en nyhet och som permanent information, - muntlig information till nya kunder via kundtjänst, och - information i de uppdaterade allmänna villkoren (gällande från och med 1 mars 2013, dock publicerade som en nyhet på webbplats per den 20 december 2012). Generic har även per den 14 december 2012 informerat berörda abonnenter och användare om den inträffade integritetsincidenten genom: - elektroniskt nyhetsbrev till abonnenter (vid fall då e-postadresser registrerats), - elektroniskt nyhetsbrev till återförsäljare, och - information på Generics webbplats som en nyhet. Kopior av samtliga informationsåtgärder har även lämnats till PTS. Post- och telestyrelsen 2

3(5) Skäl Tillämpliga bestämmelser I 6 kapitlet lagen (2003:389) om elektronisk kommunikation (LEK) finns regler om integritetsskydd vid tillhandahållande av elektroniska kommunikationstjänster. 6 kap. 3 LEK innehåller en bestämmelse om att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i tjänsten skyddas. Åtgärderna ska vara ägnade att säkerställa en nivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 LEK gäller att, om det vid tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst finns särskild risk för bristande skydd av behandlade uppgifter, så ska tillhandahållaren informera abonnenterna om risken. Förutsatt att tjänsteleverantören inte själv är skyldig att avhjälpa risken enligt 6 kap. 3 LEK, ska denne även informera abonnenterna om hur och till vilken ungefärlig kostnad risken kan avhjälpas. Vidare gäller enligt 6 kap. 4 a LEK att den som tillhandahåller en allmänt tillgänglig elektroniskt kommunikationstjänst ska underrätta PTS om integritetsincidenter som inträffat vid tillhandahållande av tjänsten. Utöver underrättelse till PTS ska tjänsteleverantören även underrätta berörda abonnenter och användare om integritetsincidenten, under förutsättning att incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om PTS begär det. PTS har utfärdat föreskrifter, Post- och telestyrelsens föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1) (nedan kallade föreskrifterna), som närmare beskriver hur information till PTS och berörda abonnenter och användare vid integritetsincidenter ska lämnas. Enligt 7 föreskrifterna ska informationen som lämnas till en abonnent eller användare innehålla: 1. datum då integritetsincidenten inträffade, 2. en beskrivning av integritetsincidenten, 3. bedömda konsekvenser för abonnenten eller användaren, 4. de åtgärder som vidtagits eller kommer att vidtas och som påverkar abonnenten eller användaren, 5. rekommenderade åtgärder som abonnenten eller användaren bör vidta för att begränsa sin skada, 6. tjänstetillhandahållarens kontaktuppgifter, och 7. referensnummer kopplat till tjänstetillhandahållarens förteckning över integritetsincidenter. Post- och telestyrelsen 3

4(5) PTS bedömning Generic har vid möte med PTS uppgivit att man inte hade kännedom om skyldigheten att informera abonnenter om att det föreligger en särskild risk vid tillhandahållandet av tjänsten. Tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster förväntas dock hålla sig informerade om tillämpliga lagregler. Efter att PTS underrättat Generic har bolaget inkommit med bekräftelse på att bolaget nu genomfört de åtgärder som angivits i Underrättelsen och i detalj beskrivit dessa åtgärder. Informationen som sedan den 14 december 2012 lämnas till Minicall-tjänstens abonnenter avseende den särskilda risk som är förenad med tillhandahållandet av tjänsten innehåller en beskrivning av tjänstens sårbarhet för avkodning, samt information om att abonnenterna kan öka sitt skydd mot avkodning av meddelanden genom att använda sig av en krypteringstjänst. Genom att uppdatera sina allmänna villkor med information om risken, och genom att informera nya abonnenter via kundtjänst, har bolaget genomfört åtgärder för att även framtida Minicall-abonnenter ska få information om risken. Informationen som sedan den 14 december 2012 lämnas till berörda abonnenter och användare avseende den inträffade integritetsincidenten innehåller samtliga de ovan listade punkterna som 7 föreskrifterna kräver. Mot bakgrund av Generics genomförda åtgärder, vilka redovisats ovan, gör PTS bedömningen att bolaget har följt Underrättelsen i sin helhet. Bolaget har informerat samtliga sina abonnenter, även framtida, om den särskilda risken som föreligger vid tillhandahållande av Minicall-tjänsten och har, genom att informera om att abonnenterna kan använda sig av en krypteringstjänst, även uppfyllt sin skyldighet att informera om hur och till vilken ungefärlig kostnad risken med tjänsten kan avhjälpas. Generic har även i enlighet med föreskrifterna informerat berörda abonnenter och användare om den inträffade integritetsincidenten. Skäl att vidta ytterligare tillsynsåtgärder i detta ärende föreligger därför inte. Ärendet avskrivs därmed från vidare handläggning. Post- och telestyrelsen 4

5(5) Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Karin Malmberg (föredragande) deltagit. Post- och telestyrelsen 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss