Hoppa till innehåll på sidan

Personuppgifts­incidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Exempel på incidenter

Exempel
  • En obehörig part får tillgång till personuppgifter, till exempel om någon skickar personuppgifter till en mottagare som inte ska ha dem.
  • Datorer som innehåller personuppgifter förloras eller stjäls.
  • Någon ändrar personuppgifter utan tillstånd.
  • Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.

 

I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY. Ni kan hitta mer om detta nedan.

De registrerade kan drabbas av allvarliga konsekvenser

En personuppgiftsincident kan innebära risker för registrerade personers fri- och rättigheter och kan få allvarliga konsekvenser till exempel:

  • ekonomisk skada
  • diskriminering
  • identitetsstöld
  • bedrägeri
  • skadlig ryktesspridning.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan påverka tilltron till den organisation som behandlar personuppgifter. Den kan också leda till att IMY genom tillsyn kan döma ut sanktionsavgifter.

Vissa personuppgiftsincidenter måste anmälas

Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till oss. Ni ska göra en anmälan om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. Ni ska därför göra en bedömning om incidenten ska anmälas till oss eller inte.

Läs mer om när ni ska anmäla en personuppgiftsincident

Om ni bestämt er för att anmäla en personuppgiftsincidenten till oss ska ni göra det inom 72 timmar från att ni upptäckt incidenten. Anmälan gör det möjligt för oss att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan vi också utöva våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Anmäl personuppgiftsincident

 

Dataskyddsförordningen tar hänsyn till att det inte alltid är möjligt att utreda en personuppgiftsincident fullt ut inom 72 timmar. Om inte all information finns på plats kan ni komplettera i ett senare skede.

Informera registrerade personer

Enligt dataskyddsförordningen måste ni som personuppgiftsansvarig informera de registrerade utan onödigt dröjsmål om ni bedömer att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Informera de registrerade

Sträva efter proaktivt arbete

För att undvika personuppgiftsincidenter är det viktigt att arbeta medvetet och proaktivt.

Ni måste vara förberedda på att personuppgiftsincidenter kan inträffa i organisationen och ha inrättat rutiner för hur ni ska hantera dem så snabbt och effektivt som möjligt. Det är viktigt att vidta förebyggande åtgärder, exempelvis genom att

  • skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter
  • upprätta en handlingsplan för hur er verksamhet ska hantera personuppgiftsincidenter
  • dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till IMY.

Europeiska dataskyddsstyrelsen (EDPB) har tagit fram en vägledning för hur olika typer av incidenter bör hanteras:

Riktlinje 01/2021 om exempel på personuppgiftsincidenter hos EDPB

Personuppgiftsbiträdets roll

Om er organisation anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos biträdet, måste personuppgiftsbiträdet omedelbart rapportera den till er. Det juridiska ansvaret att anmäla personuppgiftsincidenten till IMY ligger hos den personuppgiftsansvariga organisationen.

It-leverantör utsätts för dataintrång

Exempel

Er organisation anlitar en it-leverantör för att arkivera och lagra kunduppgifter. It-leverantören utsätts för ett dataintrång som leder till att obehöriga får åtkomst till uppgifter om era kunder. Eftersom händelsen är en personuppgiftsincident ska it-leverantören omedelbart rapportera den till den personuppgiftsansvariga, som i sin tur anmäler till IMY.

 

Senast uppdaterad: 14 augusti 2023