Hoppa till innehåll på sidan

Personuppgifts­incidenter

I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY.

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks.

Exempel:

  • Diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning.
  • Ekonomisk förlust.
  • Brott mot sekretess eller tystnadsplikt.


En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

De registrerade kan drabbas av allvarliga konsekvenser

En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer i form av till exempel ekonomisk skada eller kränkning av deras friheter och rättigheter.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan påverka tilltron till den organisation som behandlar personuppgifter. Den kan också leda till sanktionsavgifter.

Vissa personuppgiftsincidenter måste anmälas

Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till oss. Anmäl inom 72 timmar efter det att personuppgiftsincidenten har upptäckts. Anmälan gör det möjligt för oss att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan vi också utöva våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Ni anmäler personuppgiftsincidenter genom att använda vår e-tjänst.

Anmäl personuppgiftsincident

 

Dataskyddsförordningen tar hänsyn till att det inte alltid är möjligt att utreda en personuppgiftsincident fullt ut inom 72 timmar. Om inte all information finns på plats kan ni komplettera i ett senare skede.

Informera registrerade personer

Ibland måste ni informera berörda personer om att en incident har inträffat.

Informera de registrerade

Sträva efter proaktivt arbete

Det är viktigt att arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter.

  • Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
  • Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
  • Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Integritetsskyddsmyndigheten.

Personuppgiftsbiträdets roll

Om er organisation anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos dem, måste personuppgiftsbiträdet omedelbart rapportera till er.

It-leverantör utsätts för dataintrång

Exempel

Er organisation anlitar en it-leverantör för att arkivera och lagra kunduppgifter. It-leverantören utsätts för ett dataintrång som leder till att obehöriga får åtkomst till uppgifter om era kunder. Eftersom händelsen är en personuppgiftsincident ska it-leverantören omedelbart rapportera den till den personuppgiftsansvariga, som i sin tur anmäler till Integritetsskyddsmyndigheten.

Obs! Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger kvar hos den personuppgiftsansvariga.

 

Riktlinjer

EDPB har antagit riktlinjer om personuppgiftsincidenter som innehåller exempel på incidenter som har inkommit till tillsynsmyndigheterna, riskbedömningar i samband med dessa samt eventuell rapporteringsskyldighet. I dokumentet finns även förslag på vilka åtgärder som bör vidtas för att minska riskerna vid en incident.

Riktlinjer om personuppgiftsincidenter (pdf, 419 kB)

Senast uppdaterad: 27 augusti 2021