Hoppa till innehåll på sidan

Informera de registrerade

I vissa fall ska ni berätta om personuppgiftsincidenten för de registrerade, alltså för de personer som kan drabbas av händelsen. Detta gäller om personuppgiftsincidenten kan leda till en hög risk för deras rättigheter och friheter.

Enligt förordningen måste ni informera de registrerade direkt och utan onödigt dröjsmål om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Obs! Ni måste alltså inte alltid informera, det bedömer ni från fall till fall.

Bedöm risken

Ni måste bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.

  • Hur allvarliga kan konsekvenserna bli?
  • Hur sannolikt är det att enskilda personer drabbas?

Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.

Mildra risken för skador

När risken är hög måste ni genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att du ska kunna hjälpa dem att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.

Röjda patientjournaler

Exempel

Ett sjukhus drabbas av en personuppgiftsincident som leder till obehörigt röjande av patientjournaler. Personuppgiftsincidenten kan sannolikt få betydande inverkan på individerna, på grund av att uppgifterna är känsliga och att patienternas konfidentiella medicinska detaljer blir kända för andra. Detta kan medföra en hög risk för patienternas rättigheter och friheter. Informera dem därför om personuppgiftsincidenten.

Stulen kunddatabas

Exempel

Om en kunddatabas blir stulen bör ni antagligen informera kunderna. Kunddatabasens personuppgifter kan användas för att begå identitetsbedrägeri, vilket kan leda till ekonomisk förlust eller andra konsekvenser för de drabbade. Personuppgiftsincidenten kan alltså leda till en hög risk för fysiska personers rättigheter och friheter.

Av misstag raderat register

Exempel

Ett universitet drabbas av en personuppgiftsincident när en anställd av misstag raderar ett register med kontaktuppgifter till de anställda. Detaljerna återskapas senare från en säkerhetskopia. Det är osannolikt att detta medför en hög risk för de anställdas rättigheter och friheter. De behöver därför inte informeras, men dokumentera ändå alltid beslutet.

Försvunnen telefonlista

Exempel

Om en telefonlista för personalen har försvunnit, eller om någon har ändrat i den utan tillåtelse, behöver ni normalt sett inte anmäla det till Integritetsskyddsmyndigheten, och då behöver ni inte heller informera de anställda. Händelsen kommer troligen inte att leda till en hög risk för fysiska personers rättigheter och friheter. Motivera beslutet och dokumentera det.

 

Anmäl till IMY

Om ni bestämmer er för att inte informera de registrerade behöver ni fortfarande anmäla personuppgiftsincidenten till IMY, såvida ni inte kan visa att händelsen sannolikt inte medför någon risk för berörda personers rättigheter och friheter.

IMY har befogenhet att tvinga er att informera berörda personer om vi anser att det finns en hög risk. Under alla omständigheter bör ni dokumentera beslutsprocessen.

 

Checklista

Följande punkter är minimikrav för vilken information ni ska lämna till de registrerade.
  • 1

    Beskriv orsaken till personuppgiftsincidenten klart och tydligt.

  • 2

    Ge namn och kontaktuppgifter till dataskyddsombudet, om er organisation har ett, eller till en annan kontakt som är insatt i frågan och kan svara på frågor.

  • 3

    Beskriv de sannolika konsekvenserna av personuppgiftsincidenten.

  • 4

    Beskriv vad ni har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.

  • 5

    I förekommande fall: Beskriv vad ni har gjort för att mildra eventuella negativa effekter.

     

 

Senast uppdaterad: 16 september 2021
Sidans etiketter Dataskydd