meny

Personuppgiftsincidenter: checklista för personuppgiftsansvariga

Använd de här checklistorna för att stämma av om ni är förberedda på rätt sätt för att hantera personuppgiftsincidenter.

Förberedelser för att hantera personuppgiftsincidenter

  • Vi vet hur vi känner igen en personuppgiftsincident.
  • Vi förstår att en personuppgiftsincident inte bara handlar om förlust eller stöld av personuppgifter.
  • Vi har rutiner för hur vi ska agera inom organisationen om en personuppgiftsincident inträffar.
  • Vi har utsett en person eller en grupp som ansvarig för att hantera personuppgiftsincidenter.
  • Vår personal vet hur de ska rapportera personuppgiftsincidenter till rätt person eller grupp.

Att anmäla personuppgiftsincidenter

  • Vi har rutiner för att kunna bedöma riskerna för personer som har drabbats av en personuppgiftsincident.
  • Vi vet vilken som är den ansvariga tillsynsmyndigheten för vår verksamhet, det vill säga om det är Datainspektionen eller tillsynsmyndigheten i ett annat EU-land än Sverige.
  • Vi har rutiner för att meddela Datainspektionen om det har inträffat en personuppgiftsincident. Rutinen säger att vi ska rapportera inom 72 timmar efter att ha upptäckt personuppgiftsincidenten. Vi rapporterar då, även om vi inte har alla detaljer än.
  • Vi vet vilken information vi måste ge Datainspektionen när en personuppgiftsincident har inträffat.
  • Vi har rutiner för att informera de registrerade personerna när det är troligt att en personuppgiftsincident medför en hög risk för deras rättigheter och friheter.
  • Vi vet att vi i så fall måste informera de registrerade personerna omedelbart.
  • Vi vet vilken information om personuppgiftsincidenten som vi måste ge till de registrerade personerna, och att vi bör ge råd för att hjälpa dem att skydda sig från dess effekter.
  • Vi dokumenterar alla personuppgiftsincidenter, även de som inte behöver anmälas till Datainspektionen.