meny

När ska vi anmäla en personuppgiftsincident?

Det är inte alldeles enkelt att ge råd när det gäller att bedöma vad som är en personuppgiftsincident och när ni som är personuppgiftsansvariga ska anmäla till Datainspektionen. Här försöker vi reda ut begreppen.

När ni blir medvetna om att det har skett en personuppgiftsincident bör ni så snabbt som möjligt göra en bedömning av de potentiella negativa konsekvenserna för de registrerade personerna, baserat på hur allvarliga eller väsentliga dessa är och hur troligt det är att effekterna kan inträffa.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetshändelse som har påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat om personuppgifter har

  • förstörts, oavsiktligt eller olagligt
  • gått förlorade eller ändrats
  • röjts till någon obehörig.

Obs! Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Exempel

  • Någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
  • Datorer som innehåller personuppgifter har förlorats eller stulits.
  • Någon har ändrat personuppgifter utan tillstånd.
  • Personuppgifterna är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.

Anmäl vissa personuppgiftsincidenter

När det har inträffat en personuppgiftsincident måste ni först fastställa sannolikheten och allvaret, och den därmed följande risken för människors rättigheter och friheter. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste ni meddela Datainspektionen. Men om det är osannolikt att en personuppgiftsincident medför risker behöver ni inte meddela oss.

Dokumentera alltid

Även om ni bestämmer er för att inte anmäla incidenten, måste ni kunna motivera beslutet och dokumentera detta.

Personuppgiftsansvariga bedömer riskerna

Vissa incidenter kommer inte att leda till risker för de registrerade. Däremot kan det medföra ett visst besvär för de anställda hos den personuppgiftsansvarige, som behöver uppgifterna för att utföra sitt jobb. Andra personuppgiftsincidenter kan väsentligen påverka personer vars personuppgifter har äventyrats.

Ni som personuppgiftsansvariga måste själva bedöma personuppgiftsincidentens effekt och analysera alla relevanta faktorer.

När ska vi informera de registrerade?

Om personuppgiftsincidenten är allvarlig så ska ni utan onödigt dröjsmål även informera de registrerade om personuppgiftsincidenten. Detta gäller alltså om det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter.

Läs mer om att informera de registrerade

Så står det i dataskyddsförordningen

I dataskyddsförordningen definieras en personuppgiftsincident som "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats".

När ni bedömer riskerna med personuppgiftsincidenter är det viktigt att fokusera på de potentiella negativa konsekvenserna för registrerade personer.

I skäl 85 i dataskyddsförordningen förklaras följande:

En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Detta innebär att en personuppgiftsincident kan medföra en rad negativa effekter för individer, vilket inkluderar ett personligt lidande och fysisk och materiell skada.