Detta händer då en verksamhet anmält en personuppgiftsincident
Företag, myndigheter och andra verksamheter är i vissa fall skyldiga att skicka in en anmälan om personuppgiftsincident till IMY. Denna incidentanmälan ska göras inom 72 timmar efter att incidenten upptäckts om inte en särskild motivering till dröjsmålet lämnas.
En incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt.
6 500 anmälningar på ett år
IMY tar i snitt emot mellan 100 och 150 incidentanmälningar per vecka. 2024 tog myndigheten emot 6 500 incidentanmälningar. En incidentanmälan ska skickas in till IMY om den personuppgiftsansvarige gör bedömningen att incidenten lett till en integritetsrisk för registrerade. Inte alla av de anmälningar som IMY tar emot rör incidenter som behöver anmälas. Med det sagt bedömer IMY att det även finns ett mörkertal av incidenter som inte rapporteras in till myndigheten fast de borde rapporteras.
IMY handlägger incidentanmälningar som kommer in till myndigheten i tur och ordning och arbetar efter en riskvärderingsmodell för att kunna sortera ut de anmälningar som kan komma att kräva en djupare analys.
I all korthet hanteras incidentanmälningarna enligt följande: en första initial bedömning görs i syfte att analysera bland annat vilken integritetsrisk som incidenten medfört för de registrerade. Om bedömning görs att det förelegat en allvarlig integritetsrisk för de registrerade lämnas incidentanmälan över till en operativ enhet för en andra, mer noggrann bedömning. Vi kan då välja att inleda en tillsyn med anledning av incidenten.
Frågor från massmedia
Vissa personuppgiftsincidenter får stor uppmärksamhet i massmedia. IMY får då ofta frågor kort efter det att incidenten inträffat, om vi kommer att granska incidenten eller inte, vilket är svårt för oss att ge besked om i ett initialt skede.
Ofta är den första incidentanmälan vi tar emot knapphändig vilket kan bero på att en incidentanmälan i normalfallet ska skickas in inom 72 timmar. Den verksamhet som råkat ut för en incident kan behöva mer tid för att analysera vilken risk som förelegat för att därefter komma in med en mer detaljerad beskrivning av vad som hänt och då komplettera sin incidentanmälan. Detta påverkar vår möjlighet att snabbt göra en bedömning av, och kommentera, det som inträffat. Även mängden incidenter som vi tar emot påverkar vår möjlighet att snabbt kommentera det inträffade.
Skulle vi inleda en tillsyn kan den leda fram till olika åtgärder från vår sida. Vi har ett antal så kallade korrigerande befogenheter.
Om vi inleder en granskning eller inte är en fråga som bland annat beror på allvarlighetsgraden av incidenten och vilka resurser vi har tillgängliga. För närvarande har IMY ett stort fokus på att utreda klagomål som lämnas in från enskilda personer. Det gör att tillgängliga resurser för andra typer av granskningar, som exempelvis granskningar av personuppgiftsincidenter, är begränsade.
Det är dock värt att notera att en anmälan om en personuppgiftsincident som inte leder till någon direkt åtgärd från IMY inte är detsamma som att IMY anser att allt har gått rätt till.
Även en anmälan som inte leder till tillsyn gör skillnad. Vi analyserar incidenterna som kommer in till oss och tar fram vägledning och rekommendationer. Ett syfte med IMY:s arbete med incidentanmälningar är att ge vägledning till personuppgiftsansvariga för att i möjligaste mån förebygga och minimera integritetsrisker för de registrerade. Anmälningar om personuppgiftsincidenter kan också ligga till grund för hur vi inriktar vår övriga verksamhet, som exempelvis utbildnings- eller samverkansinsatser.
Skyldigheten i GDPR att anmäla vissa typer av personuppgiftsincidenter till IMY har gjort att verksamheter måste ha rutiner och processer för att upptäcka personuppgiftincidenter och även för att åtgärda eventuella incidenter. Det bidrar i sig positivt till skyddet av personuppgifter och den personliga integritete