meny

Frågor och svar

Några vanliga frågor och svar om personuppgiftsincidenter.

Ska vi anmäla alla personuppgiftsincidenter till Datainspektionen?

Nej, inte alla. Om det är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter, ska de inte anmälas till oss. Även om ni bestämmer er för att inte anmäla incidenten måste ni kunna motivera beslutet och dokumentera detta.

Läs mer om när du ska anmäla en personuppgiftsincident

När ska vi anmäla personuppgiftsincidenten?

Huvudregeln är inom 72 timmar från upptäckt, därefter kan ni skyndsamt komplettera den information som saknas.

Obs! Om incidenten både har inträffat och upptäckts innan den 25 maj 2018, ska ni inte anmäla den till oss. Om incidenten har inträffat innan den 25 maj 2018 och ni upptäcker den efter den 25 maj 2018, ska den anmälas till oss.

Varför har ni bara två timmars telefontid per dag? En incident kan ju inträffa dygnet runt. Vem ska jag prata med i så fall?

Till en början kommer vi att ha två timmars telefontid per dag men detta kan komma att utökas senare – beroende på efterfrågan. Du kan alltid mejla frågor till oss och vi prioriterar att svara på dessa frågor skyndsamt. Skicka ett e-post till personuppgiftsincident@datainspektionen.se.

När beräknas ni ha e-tjänsten för incidentrapportering klar?

E-tjänsten beräknas vara i drift efter sommaren. Vi kommer att lämna ny information på vår webbplats när datum för driftsättning är fastställd.

Jag har polisanmält ett dataintrång. Ska jag trots detta anmäla incidenten till Datainspektionen? När i så fall och hur kommer denna information att hanteras av Datainspektionen?

Ja, även om du har anmält ett misstänkt dataintrång till polisen ska du anmäla incidenten till oss. Om du har anmält dataintrånget till polisen bör du upplysa oss om detta.

När kommer ni att börja granska personuppgiftsincidenter?

I nuläget går vi igenom samtliga anmälningar som kommer in till oss. Om det kommer in anmälningar som rör allvarliga personuppgiftsincidenter som exempelvis inte har åtgärdats av den personuppgiftsansvarige, eller att åtgärdsplan saknas, kan vi komma att genomföra tillsyn.

Läs mer om hur vi genomför tillsyn

Hur vet ni att det är en representant för den personuppgiftsansvarige som anmäler en incident?

Vi har för avsikt att införa en autentiseringslösning (exempelvis Bank-ID) till vår e-tjänst. Detta innebär att personen som anmäler en incident via exempelvis Bank-ID i efterhand kan identifieras om sådana behov finns. Fram tills dess att e-tjänsten och autentiseringslösningen är på plats kommer det att ske en manuell genomgång av de inkomna anmälningarna.

Om vi behöver ta kontakt med representanten kommer vi att använda oss av olika tillvägagångssätt för att försäkra oss om att det är rätt person vi kontaktar.

Vad innebär obehörigt röjande?

Den personuppgiftsansvarige, dvs. någon inom en organisation, har felaktigt spridit eller publicerat personuppgifter internt eller externt. Detta har medfört att mottagare som inte får ta del av personuppgifterna, kan ta del av dessa. Det krävs inte att någon faktiskt har tagit del av personuppgifterna för att det ska ha inträffat ett obehörigt röjande, utan incidenten består av själva "röjandet av uppgifter". Enkelt förklarat har någon "röjt personuppgifter som inte skulle röjas".

Vad innebär obehörig åtkomst?

Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång. Obehörig åtkomst kan vara intern eller extern, och kan ske oavsiktligt eller avsiktligt.
Att någon tekniskt har behörighet till personuppgifter i ett it-system innebär inte nödvändigtvis att personen även har befogenhet att ta del av alla personuppgifter i it-systemet. Om personen tar del av personuppgifter som den inte har rätt att ta del av – genom att den tekniska behörigheten gjorts vidare än den egentliga befogenheten – innebär detta att en obehörig åtkomst har skett.

Anledningen till detta kan vara att den personuppgiftsansvarige inte tekniskt har begränsat personalens behörighet till personuppgifter i it-systemet.

Ska personuppgifterna krypteras?

I dag är vi – både privat och på arbetet – uppkopplade mot internet dygnet runt. Om personuppgifter som inte är krypterade görs åtkomliga via internet, innebär detta att även "fel personer" kan komma att ta del av dessa uppgifter. Uppgifterna kan alltså hamna i "orätta händer".

Eftersom vi dagligen använder oss av olika arbetsredskap – bl.a. datorer, mobila enheter (tex smarta telefoner, surfplattor osv) och USB-minnen - måste den personuppgiftsansvarige fundera kring vilka personuppgifter som behöver krypteras. Alla personuppgifter behöver inte vara krypterade, men den personuppgiftsansvarige bör se över om vissa uppgifter behöver krypteras.

Spelar det någon roll vilken krypteringsmetod vi använder – är alla lika säkra?

Det finns olika krypteringsmetoder som är mer eller mindre säkra. Ni måste därför försäkra er om vilken typ av metod ni använder och vilka uppgifter ni ska skydda med krypteringen.

Hur gör Datainspektionen sin sekretessprövning, när anmälningar om personuppgiftsincidenter begärs ut som allmänna handlingar?

Vilka regler som gäller för sekretessbedömningen hos Datainspektionen – när det gäller en anmälan om personuppgiftsincidenter – finns behandlat i prop. 2017/18:105 s. 129. Där framgår att redan uppgift om ingivarens identitet typiskt sett är känslig.

Kan jag som registrerad (privatperson) anmäla en personuppgiftsincident till Datainspektionen?

Nej, en privatperson kan inte anmäla en personuppgiftsincident till oss. Det är bara en personuppgiftsansvarig som kan göra det, och det är endast den personuppgiftsansvarige som ska använda vårt formulär för personuppgiftsincidenter. Däremot kan du som privatperson skicka in ett klagomål till oss, om du anser att du har blivit drabbad av en personuppgiftsincident. Du kan även tipsa oss om att en misstänkt personuppgiftsincident har skett.