Hoppa till innehåll på sidan

Hantering av personuppgifts­incidenter

Konsekvenserna av en personuppgiftsincident kan vara allvarliga både för er organisation och för de personer som drabbas av incidenten. Det är därför viktigt att arbeta proaktivt och systematiskt för att förhindra incidenter. Om en personuppgiftsincident inträffar behöver er organisation ha rutiner för hur ni ska hantera den effektivt.

När ni blir medvetna om att det har skett en personuppgiftsincident bör ni så snabbt som möjligt göra en bedömning av vilka potentiella negativa konsekvenser den kan få för de registrerade. I bedömningen bör ni beakta hur allvarliga eller väsentliga riskerna är och hur troligt det är att de inträffar. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste ni anmäla den till IMY. Är det däremot osannolikt att personuppgiftsincidenten medför risker behöver ni inte anmäla den till IMY.

Om en personuppgiftsincident sannolikt leder till en hög risk för de registrerades rättigheter och friheter behöver ni dessutom informera dem direkt och utan onödigt dröjsmål.

Dokumentation och förebyggande åtgärder

Oavsett om ni bestämmer er för att anmäla incidenten eller informera de registrerade, måste ni kunna motivera och dokumentera era ställningstaganden. Den interna dokumentationen ska bland annat innehålla en beskrivning av vad som har skett och de åtgärder ni vidtagit med anledning av incidenten. Dokumentationen kan ni använda för att identifiera brister och utvecklingsbehov i det löpande och systematiska arbetet med dataskydd och informationssäkerhet.

För att kunna reagera snabbt och hantera personuppgiftsincidenter så skyndsamt och effektivt som möjligt är det viktigt att ha rutiner på plats.

Vad ska beaktas i riskbedömningen?

Om en personuppgiftsincident har inträffat ska den personuppgiftsansvariga bedöma om incidenten innebär en risk för de registrerades fri- och rättigheter. Bedömningen avgör om incidenten behöver anmälas till oss och om de registrerade behöver informeras om händelsen. Följande faktorer kan beaktas i bedömningen:

Vilka konsekvenser en incident kommer att få är beroende av vad som har hänt. Ett felaktigt brevutskick med känsliga uppgifter kan få andra konsekvenser än en incident där en persons medicinska uppgifter har gått förlorade eller inte längre är tillgängliga. Vilken typ av incident som inträffat har alltså betydelse för vilka risker de registrerade kan tänkas drabbas av.

Även personuppgifternas karaktär och känslighet får betydelse för vilken skada som kan drabba de registrerade. Identitetshandlingar och finansiella uppgifter kan tillsammans användas för exempelvis identitetsstöld. En kombination av uppgifter kan i vissa fall vara känsligare än endast en typ av personuppgifter. Om det rör sig om en större mängd personuppgifter kan incidenten innebära större effekter på de registrerades fri- och rättigheter.

Hur enkelt det är att identifiera enskilda personer med hjälp av uppgifterna får betydelse för vilka konsekvenser personuppgiftsincidenten kan medföra. Hur enkelt uppgifterna, direkt eller indirekt, kan användas för att identifiera en enskild person kan exempelvis påverkas av om personuppgifterna skyddats genom kryptering eller pseudonymisering.

Konsekvenserna av en personuppgiftsincident kan anses vara särskilt allvarliga om incidenten riskerar att leda till exempelvis identitetsstöld, bedrägeri eller skadat anseende.

Det har betydelse om den personuppgiftsansvariga vet om att personuppgifterna hamnat hos personer vars avsikter är okända eller skadliga. Om uppgifterna istället skickats till en mottagare som är betrodd kan risken för enskilda anses vara lägre.

En personuppgiftsincident kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, exempelvis barn eller andra personer i sårbarare eller svagare ställning. Det kan även finnas andra faktorer hos den enskilda som kan påverka vilken effekt en incident får för de registrerade. Därför är det viktigt att ta hänsyn till vilka de registrerade är och om det finns egenskaper hos dem som kan få betydelse för riskbedömningen.

Vilken typ av verksamhet den personuppgiftsansvariga bedriver kan påverka vilka risker en personuppgiftsincident innebär för de registrerade.

Ofta får en personuppgiftsincident större effekter ju fler individer som påverkas. En incident kan dock få svåra följder även för en enda individ, beroende på personuppgifternas art och i vilket sammanhang de har äventyrats. Här är det viktigt att ta hänsyn till effekternas sannolikhet och hur svårt de drabbar de berörda personerna.


Om en incident har inträffat som sannolikt leder till risker för de registrerades fri- och rättigheter behöver ni anmäla det till IMY inom 72 timmar från det att ni upptäckte incidenten. Om incidenten sannolikt leder till en hög risk måste ni informera de registrerade utan onödigt dröjsmål. IMY har tagit fram ett antal exempel som kan vara vägledande i riskbedömningen.

Exempel på personuppgiftsincidenter

Informera de registrerade

Enligt dataskyddsförordningen måste ni som personuppgiftsansvarig informera de registrerade utan onödigt dröjsmål om ni bedömer att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Syftet med att informera de registrerade är att ge dem möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador av en personuppgiftsincident.

Checklista

Följande punkter är minimikrav för vilken information ni ska lämna till de registrerade.
  • 1

    Beskriv orsaken till personuppgiftsincidenten klart och tydligt.

  • 2

    Ge namn och kontaktuppgifter till dataskyddsombudet, om er organisation har ett, eller till en annan kontakt som är insatt i frågan och kan svara på frågor.

  • 3

    Beskriv de sannolika konsekvenserna av personuppgiftsincidenten.

  • 4

    Beskriv vad ni har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.

  • 5

    I förekommande fall: Beskriv vad ni har gjort för att mildra eventuella negativa effekter.

     

Senast uppdaterad: 25 mars 2022
Sidans etiketter Personuppgiftsincident