Hoppa till innehåll
Skip to page content

5. Anmäl personuppgiftsincidenter

Ikonen visar ett låst hänglås med en symbol för en person i mitten. Hänglåsets bygel är bruten. Ikonen har en ljusgrön ram. Ikonen visar att situationen handlar om en personuppgiftsincident.

Med tiden drabbas så gott som alla som behandlar personuppgifter av en personuppgiftsincident. Därför är det viktigt att anordnare av hobbyverksamhet har utarbetat en process för hantering av personuppgiftsincidenter och försäkrar sig om att alla som deltar i behandlingen av personuppgifter kan identifiera personuppgiftsincidenter och agera på det sätt som man kommit överens om i dessa situationer. I vissa fall ska personuppgiftsincidenten anmälas till dataombudsmannens byrå och de personer som drabbats av personuppgiftsincidenten.

Vad är en personuppgiftsincident?

Med personuppgiftsincident avses en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem. En personuppgiftsincident kan vara till exempel

  • en försvunnen databärare, såsom en USB-sticka
  • en stulen dator
  • en hacker- eller cyberattack
  • skadeprogram
  • att en faktura har skickats till fel person
  • obehörig åtkomst till personuppgifter

En personuppgiftsincident kan leda till exempel till identitetsstöld eller bedrägeri, skadat anseende eller avslöjande av personuppgifter som omfattas av sekretessplikten.

Det viktigaste är att man så fort som möjligt efter det att personuppgiftsincidenten upptäckts inleder åtgärder för att begränsa skadan. Anordnare av hobbyverksamhet bör utarbeta en process för hantering av personuppgiftsincidenter och på förhand utse en person (till exempel dataskyddsombudet) som ansvarar för utredningen och dokumenteringen av personuppgiftsincidenter.

När ska en personuppgiftsincident anmälas till tillsynsmyndigheten?

Om incidenten kan medföra en risk för de registrerade ska den anmälas till dataombudsmannens byrå inom 72 timmar från det att personuppgiftsincidenten upptäckts. Anmälan kan lämnas med dataombudsmannens byrås anmälningsblankett på byråns webbplats.

När ska de registrerade underrättas om en personuppgiftsincident?

Om en personuppgiftsincident medför en hög risk för de registrerade ska de underrättas om incidenten så att de kan vidta nödvändiga skyddsåtgärder och vara beredd på de risker som incidenten kan medföra dem.

I vissa exceptionella fall behöver den personuppgiftsansvariga inte underrätta de registrerade om en personuppgiftsincident:

  • den personuppgiftsansvariga har vidtagit behöriga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som är föremål för personuppgiftsincidenten (i synnerhet åtgärder med vilka personuppgifterna ändras till obegriplig form för utomstående, såsom kryptering)
  • den personuppgiftsansvariga har vidtagit ytterligare åtgärder som säkerställer att det inte längre är sannolikt att en hög risk som riktar sig mot den registrerades rättigheter och friheter blir verklighet
  • det skulle inbegripa en oproportionell ansträngning till exempel om man inte vet vilka de registrerade är

Om det inte är möjligt att kontakta de registrerade personligen, ska man använda sig av offentlig delgivning eller någon annan motsvarande åtgärd med vilken de registrerade kan informeras lika effektivt.

Om den personuppgiftsansvariga inte ännu har underrättat de registrerade om personuppgiftsincidenten, kan tillsynsmyndigheten kräva att detta görs.

Den personuppgiftsansvariga ska dokumentera alla personuppgiftsincidenter och deras konsekvenser samt de vidtagna korrigerande åtgärder. Detta innebär att man vid en personuppgiftsincident bör spara till exempel e-postmeddelanden och andra kommunikationer som hänför sig till incidenten, spara logguppgifterna för tiden för incidenten samt att registrera alla åtgärder och de personer med vilka det inträffade har hanterats. Den personuppgiftsansvariga bedömer själv vilka konsekvenser personuppgiftsincidenten kan medföra samt om incidenten ska anmälas till tillståndsmyndigheten och om de registrerade ska underrättas om det inträffade.

Läs mer: Personuppgiftsincidenter | Dataombudsmannens byrå

Exempel

Tenniscoacher håller sitt månadsmöte på tennishallens café. Under mötet fanns det inte några andra personer i caféet, men en av coacherna hade i misstag lämnat ett papper som innehåller spelarnas hälsouppgifter på bordet på caféet när mötet avslutades. En grupp som följande dag satt på caféet hittade pappret och gav det till caféets personal. Personalen berättade vad som hänt till tennisklubbens ordförande.

Tennisklubben bedömde att det inträffade kan medföra hög risk för de registrerade (spelarna) eftersom pappret som glömts bort på bordet på caféet innehöll spelarnas hälsouppgifter och klubben kan inte veta hur många som eventuellt har sett pappret. Tennisklubben anmälde personuppgiftsincidenten till dataombudsmannens byrå och de personer vars uppgifter pappret innehöll.

Vilka uppgifter om en personuppgiftsincident ska man ge till tillsynsmyndigheten?

Anmälan om en personuppgiftsincident till tillsynsmyndigheten ska åtminstone:

1. beskriva personuppgiftsincidenten och i mån av möjlighet de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som berörs

2. innehålla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas

3. beskriva de sannolika konsekvenserna av personuppgiftsincidenten

4. beskriva de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om och i den utsträckning det inte är möjligt att tillhandahålla de ovannämnda uppgifterna samtidigt, får informationen tillhandahållas i omgångar utan onödigt dröjsmål.

Vilka uppgifter om en personuppgiftsincident ska man ge till de registrerade?

De registrerade som incidenten berör ska underrättas om det inträffade på ett enkelt och tydligt språk:

1. vad som har hänt

2. de sannolika konsekvenserna av personuppgiftsincidenten

3. de åtgärder som den personuppgiftsansvariga har vidtagit för att åtgärda personuppgiftsincidenten och åtgärder för att mildra de potentiella negativa effekterna

4. namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas.

Kom ihåg följande

Identifiera personuppgiftsincidenter, bedöm hurdana risker de kan medföra de registrerade och anmäl incidenterna vid behov till tillsynsmyndigheter och underrätta de personer som drabbats om det inträffade. Dokumentera händelsen och de olika stegen av hanteringen av den.

4. Bedöm riskerna och konsekvenserna av behandlingen av personuppgifter
6. Överför personuppgifter utanför EU endast om förutsättningarna uppfylls