meny

När ska vi informera de registrerade?

I vissa fall ska ni berätta om personuppgiftsincidenten för de registrerade, alltså för de personer som kan drabbas av händelsen. Detta gäller om personuppgiftsincidenten kan leda till en hög risk för deras rättigheter och friheter.

Enligt förordningen måste ni informera de registrerade direkt och utan onödigt dröjsmål om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Obs! Ni måste alltså inte alltid informera, det bedömer ni från fall till fall.

Bedöm risken

Ni måste bedöma både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och sannolikheten för att detta inträffar.

  • Hur allvarliga kan konsekvenserna bli?
  • Hur sannolikt är det att enskilda personer drabbas?

Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre.

Mildra risken för skador

När risken är hög måste ni genast informera de personer som har drabbats, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att du ska kunna hjälpa dem att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident.

Exempel

Exempel 1: Informera patienterna

Ett sjukhus drabbas av en personuppgiftsincident som leder till obehörigt röjande av patientjournaler. Personuppgiftsincidenten kan sannolikt få betydande inverkan på individerna, på grund av att uppgifterna är känsliga och att patienternas konfidentiella medicinska detaljer blir kända för andra. Detta kan medföra en hög risk för patienternas rättigheter och friheter. Informera dem därför om personuppgiftsincidenten.

Exempel 2: Informera kunderna

Om en kunddatabas blir stulen bör ni antagligen informera kunderna. Kunddatabasens personuppgifter kan används för att begå identitetsbedrägeri, vilket kan leda till ekonomisk förlust eller andra konsekvenser för de drabbade. Personuppgiftsincidenten kan alltså leda till en hög risk för fysiska personers rättigheter och friheter.

Exempel 3: Informera inte de anställda

Ett universitet drabbas av en personuppgiftsincident när en anställd av misstag raderar ett register med kontaktuppgifter till de anställda. Detaljerna återskapas senare från en säkerhetskopia. Det är osannolikt att detta medför en hög risk för de anställdas rättigheter och friheter. De behöver därför inte informeras, men dokumentera ändå alltid beslutet.

Exempel 4: Informera inte de anställda

Om en telefonlista för personalen har försvunnit, eller om någon har ändrat i den utan tillåtelse, behöver ni normalt sett inte anmäla det till Datainspektionen, och då behöver ni inte heller informera de anställda. Händelsen kommer troligen inte att leda till en hög risk för fysiska personers rättigheter och friheter. Motivera beslutet och dokumentera det.

Fler exempel kommer

Längre fram kommer vi att kunna ge fler exempel på olika typer av personuppgiftsincidenter här på webbplatsen.

Anmäl till Datainspektionen

Om ni bestämmer er för att inte informera de registrerade behöver ni fortfarande anmäla personuppgiftsincidenten till Datainspektionen, såvida ni inte kan visa att händelsen sannolikt inte medför någon risk för berörda personers rättigheter och friheter.

Obs! Datainspektionen har befogenhet att tvinga er att informera berörda personer om vi anser att det finns en hög risk. Under alla omständigheter bör ni dokumentera beslutsprocessen.

Vilken information ska vi lämna till de registrerade?

Följande punkter är ett minimikrav:

  • Beskriv orsaken till personuppgiftsincidenten klart och tydligt.
  • Ge namn och kontaktuppgifter till dataskyddsombudet, om er organisation har ett, eller till en annan kontakt som är insatt i frågan och kan svara på frågor.
  • Beskriv de sannolika konsekvenserna av personuppgiftsincidenten.
  • Beskriv vad ni har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.
  • I förkommande fall: Beskriv vad ni har gjort för att mildra eventuella negativa effekter.