Anmälningar av personuppgiftsincidenter

Vad menas med en personuppgiftsincident (data breach på engelska)?
Varför ska man anmäla sådana incidenter till Datainspektionen?
När ska incidenter anmälas?
Vilken information ska en sådan anmälan innehålla?
Vem ska göra anmälan?
Kommer information som lämnas vid en sådan anmälan att publiceras av Datainspektionen eller omfattas den av sekretess?

Vad menas med en personuppgiftsincident (data breach på engelska)?

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Varför ska man anmäla sådana incidenter till Datainspektionen?

Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

När ska incidenter anmälas?

Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

Om det inte är möjligt att lämna all information inom 72 timmar kan man dela upp det och lämna uppgifter vid olika tillfällen allt eftersom det blir möjligt. Hinner man inte göra anmälan alls inom 72 timmar ska man ändå informera Datainspektionen och ange skälen för förseningen.

Vilken information ska en sådan anmälan innehålla?

Informationen ska innehålla uppgifter om

  • Vilken typ av incident det är fråga om,
  • Vilka kategorier av personer som kan komma att beröras,
  • Hur många personer det berör,
  • Vilka konsekvenser incidenten kan få samt
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.

Vem ska göra anmälan?

Den personuppgiftsansvarige, det vill säga det företag, myndighet eller annan organisation som bestämmer ändamål och medel för behandlingen. Men det finns också en skyldighet för den som har anlitats som personuppgiftsbiträde att uppmärksamma den personuppgiftsansvarige på en säkerhetsincident så fort den upptäckts.

Kommer information som lämnas vid en sådan anmälan att publiceras av Datainspektionen eller omfattas den av sekretess?

Det finns inget i förordningen som kräver att Datainspektionen publicerar information om anmälda incidenter. Även om Datainspektionen inte publicerar information från en anmälan om personuppgiftsincidenter, kan sådan information komma att behöva lämnas ut i enlighet med offentlighetsprincipen om det begärs. Informationen får dock inte lämnas ut om det finns bestämmelser i offentlighets- och sekretesslagen som hindrar detta. Om någon skulle begära ut information som kommer in i samband med en sådan anmälan får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om informationen ska lämnas ut eller inte.

Observera att den personuppgiftsansvarige under vissa omständigheter själv är skyldig att informera de personer vars uppgifter berörs av incidenten. Den informationen ska bland annat omfatta vilka konsekvenser incidenten kan leda till och vilka åtgärder man vidtagit för att motverka eventuella negativa följder. Syftet är bland annat att göra det möjligt för de enskilda personerna att själva vidta nödvändiga åtgärder.

När Datainspektionen blir informerad om en incident kan myndigheten fatta beslut om att den personuppgiftsansvarige måste informera de registrerade eller att det inte är nödvändigt. Om de registrerade ska informeras kan Datainspektionen komma att ge råd om hur detta ska ske.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.