Hoppa till innehåll

Vad är en personuppgiftsincident?

GDPR

22 maj 2018

En personuppgiftsincident är en säkerhetshändelse som har påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat om personuppgifter har förstörts, oavsiktligt eller olagligt, om uppgifter gått förlorade eller ändrats, eller om de har röjts till någon obehörig.

Observera att det inte spelar någon roll om incidenten har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Exempel på personuppgiftsincidenter är följande:

  • Någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
  • Datorer som innehåller personuppgifter har förlorats eller stulits.
  • Någon har ändrat personuppgifter utan tillstånd.

Anmäl vissa personuppgiftsincidenter

När en personuppgiftsincident har inträffat måste ni först fastställa sannolikheten och allvaret, och den därmed följande risken för människors rättigheter och friheter. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste ni meddela Datainspektionen. Men om det är osannolikt att en personuppgiftsincident medför risker, behöver ni inte anmäla någonting till Datainspektionen. Även om ni bestämmer er för att inte anmäla incidenten, måste ni kunna motivera beslutet och dokumentera detta.

Vissa incidenter kommer inte att leda till risker för de registrerade. Däremot kan det medföra ett visst besvär för de anställda hos den personuppgiftsansvarige, som behöver uppgifterna för att utföra sitt jobb. Andra personuppgiftsincidenter kan väsentligen påverka personer vars personuppgifter har äventyrats. Denna bedömning behöver göras av er som personuppgiftsansvariga från fall till fall. Om ni gör bedömningen att det är sannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter så ska ni utan onödigt dröjsmål även informera de de registrerade om personuppgiftsincidenten.

Checklista för förberedelser för att hantera personuppgiftsincidenter

  • Vi vet hur vi känner igen en personuppgiftsincident.
  • Vi förstår att en personuppgiftsincident inte bara handlar om förlust eller stöld av personuppgifter.
  • Vi har rutiner för hur vi ska agera inom organisationen om en personuppgiftsincident inträffar.
  • Vi har utsett en person eller en grupp som ansvarig för att hantera personuppgiftsincidenter.
  • Vår personal vet hur de ska rapportera personuppgiftsincidenter till rätt person eller grupp.

Hur ska vi rapportera personuppgiftsincidenter?

Datainspektionen håller på att ta fram en e-tjänst för att du som företagare ska kunna anmäla personuppgiftsincidenter till dem. E-tjänsten kommer att finnas på Datainspektionens hemsida senare i vår.

> Här hittar du all information om GDPR som vi har gått ut med