meny

Personuppgiftsincidenter

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Personuppgiftsincidenter kan vara allvarliga

En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer. De kan råka ut för till exempel ekonomisk skada eller kränkning av sina friheter och rättigheter.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan också påverka tilltron till den organisation som behandlar personuppgifter. Det kan dessutom leda till sanktionsavgifter.

Vissa personuppgiftsincidenter måste anmälas

Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till Datainspektionen. Anmäl personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts. Anmälan gör det möjligt för Datainspektionen att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan vi också utöva våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Informera registrerade personer

Ibland måste ni informera berörda personer om att en incident har inträffat.

Läs mer om när ni har en skyldighet att informera registrerade personer här. 

Sträva efter proaktivt arbete

Det är viktigt att arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter.

  • skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
  • upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
  • dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.

Personuppgiftsbiträdets roll

Om din organisation anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos dem, måste personuppgiftsbiträdet omedelbart rapportera till er.

Exempel: Din organisation anlitar en it-leverantör för att arkivera och lagra kunduppgifter. It-leverantören utsätts för ett dataintrång som leder till att obehöriga får åtkomst till uppgifter om era kunder. Eftersom händelsen är en personuppgiftsincident ska it-leverantören omedelbart rapportera detta till den personuppgiftsansvarige, som i sin tur anmäler till Datainspektionen.

Obs! Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger kvar hos den personuppgiftsansvarige.

Anmäl personuppgiftsincidenter till Datainspektionen

Ni anmäler personuppgiftsincidenter genom att fylla i en blankett och skicka till Datainspektionen via brev:

Dataskyddsförordningen tar hänsyn till att det inte alltid är möjligt att utreda en personuppgiftsincident fullt ut inom 72 timmar. Om inte all information finns på plats kan du komplettera i ett senare skede.

Anmälda personuppgiftsincidenter januari till september 2019

Datainspektionen publicerar återkommande en rapport över de personuppgiftsincidenter som anmälts till myndigheten. Den senaste rapporten visar att antalet anmälda personuppgiftsincidenter ökat under de första nio månaderna 2019. Totalt fick Datainspektionen under perioden in 3 410 incidentanmälningar, vilket motsvarar närmare 90 anmälda incidenter per vecka. Under 2018 anmäldes i genomsnitt 70 incidenter per vecka. Antalet anmälda incidenter har därmed ökat med närmare 30 procent under 2019 jämfört med 2018. Ökningen återfinns främst i offentlig sektor.

Rapporten i sin helhet:

Anmälda personuppgiftsincidenter januari–september 2019

Mer information

Riktlinjer om anmälan av personuppgiftsincidenter
EDPB:s riktlinjer om Anmälan av personuppgiftsincidenter.

Rättsinformation

Artikel 33–34 (anmälan av en personuppgiftsincident till tillsynsmyndigheten, information till den registrerade om en personuppgiftsincident)
Skäl 85–88