meny

Frågor och svar

Några vanliga frågor och svar om personuppgiftsincidenter.

Ska vi anmäla alla personuppgiftsincidenter till Datainspektionen?

Nej, inte alla. Om det är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter, ska de inte anmälas till oss. Även om ni bestämmer er för att inte anmäla incidenten måste ni kunna motivera beslutet och dokumentera detta.

När ska vi anmäla personuppgiftsincidenten?

Huvudregeln är inom 72 timmar från upptäckt, därefter kan ni skyndsamt komplettera den information som saknas.

Obs! Om incidenten både har inträffat och upptäckts innan den 25 maj 2018, ska ni inte anmäla den till oss. Om incidenten har inträffat innan den 25 maj 2018 och ni upptäckte den efter den 25 maj 2018, ska den anmälas till oss. 

Blanketter känns lite gammaldags. När beräknar ni ha e-tjänsten för incidentrapportering klar?

Tyvärr har e-tjänsten blivit försenad och det är ännu oklart när den kommer att vara klar och i drift. Vi kommer att lämna ny information på vår webbplats när lanseringsdatum är fastställt.

Jag har polisanmält ett dataintrång. Ska jag trots detta anmäla incidenten till Datainspektionen? När i så fall och hur kommer denna information att hanteras av Datainspektionen?

Ja, även om du har anmält ett misstänkt dataintrång till polisen ska du anmäla incidenten till oss. Om du har anmält dataintrånget till polisen bör du upplysa oss om detta.

När kommer ni att börja granska personuppgiftsincidenter?

I nuläget går vi igenom samtliga anmälningar som kommer in till oss. Om det kommer in anmälningar som rör allvarliga personuppgiftsincidenter som exempelvis inte har åtgärdats av den personuppgiftsansvarige, eller att åtgärdsplan saknas, kan vi komma att genomföra tillsyn.

Vad innebär obehörigt röjande?

Den personuppgiftsansvarige, det vill säga någon inom en organisation, har felaktigt spridit eller publicerat personuppgifter internt eller externt. Detta har medfört att mottagare som inte får ta del av personuppgifterna, kan ta del av dessa. Det krävs inte att någon faktiskt har tagit del av personuppgifterna för att det ska ha inträffat ett obehörigt röjande, utan incidenten består av själva "röjandet av uppgifter". Enkelt förklarat har någon "röjt personuppgifter som inte skulle röjas".

Vad innebär obehörig åtkomst?

Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång. Obehörig åtkomst kan vara intern eller extern, och kan ske oavsiktligt eller avsiktligt.
Att någon tekniskt har behörighet till personuppgifter i ett it-system innebär inte nödvändigtvis att personen även har befogenhet att ta del av alla personuppgifter i it-systemet. Om personen tar del av personuppgifter som den inte har rätt att ta del av – genom att den tekniska behörigheten gjorts vidare än den egentliga befogenheten – innebär detta att en obehörig åtkomst har skett.

Anledningen till detta kan vara att den personuppgiftsansvarige inte tekniskt har begränsat personalens behörighet till personuppgifter i it-systemet.

Ska personuppgifterna krypteras?

I dag är vi – både privat och på arbetet – uppkopplade mot internet dygnet runt. Om personuppgifter som inte är krypterade görs åtkomliga via internet, innebär detta att även "fel personer" kan komma att ta del av dessa uppgifter. Uppgifterna kan alltså hamna i "orätta händer".

Eftersom vi dagligen använder oss av olika arbetsredskap – bland annat datorer, mobila enheter (till exempel smarta telefoner, surfplattor) och USB-minnen - måste den personuppgiftsansvarige fundera kring vilka personuppgifter som behöver krypteras. Alla personuppgifter behöver inte vara krypterade, men den personuppgiftsansvarige bör se över om vissa uppgifter behöver krypteras.

Spelar det någon roll vilken krypteringsmetod vi använder – är alla lika säkra?

Det finns olika krypteringsmetoder som är mer eller mindre säkra. Ni måste därför försäkra er om vilken typ av metod ni använder och vilka uppgifter ni ska skydda med krypteringen.

Hur gör Datainspektionen sin sekretessprövning när anmälningar om personuppgiftsincidenter begärs ut som allmänna handlingar?

Vilka regler som gäller för sekretessbedömningen hos Datainspektionen – när det gäller en anmälan om personuppgiftsincidenter – finns behandlat i prop. 2017/18:105 s. 129. Där framgår att redan uppgift om ingivarens identitet typiskt sett är känslig.

Kan jag som registrerad (privatperson) anmäla en personuppgiftsincident till Datainspektionen?

Nej, en privatperson kan inte anmäla en personuppgiftsincident till oss. Det är bara en personuppgiftsansvarig som kan göra det, och det är endast den personuppgiftsansvarige som ska använda vår blankett för personuppgiftsincidenter. Däremot kan du som privatperson skicka in ett klagomål till oss, om du anser att du har blivit drabbad av en personuppgiftsincident. Du kan även tipsa oss om att en misstänkt personuppgiftsincident har skett.