Personuppgifts­incidenter

I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY. Ni kan hitta mer om detta nedan.

De registrerade kan drabbas av allvarliga konsekvenser

En personuppgiftsincident kan innebära risker för registrerade personers fri- och rättigheter och kan få allvarliga konsekvenser till exempel:

• ekonomisk skada
• diskriminering
• identitetsstöld
• bedrägeri
• skadlig ryktesspridning.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan påverka tilltron till den organisation som behandlar personuppgifter. Den kan också leda till att IMY genom tillsyn kan döma ut sanktionsavgifter.

Vissa personuppgiftsincidenter måste anmälas

Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till oss. Ni ska göra en anmälan om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. Ni ska därför göra en bedömning om incidenten ska anmälas till oss eller inte.

Läs mer om när ni ska anmäla en personuppgiftsincident

Om ni bestämt er för att anmäla en personuppgiftsincidenten till oss ska ni göra det inom 72 timmar från att ni upptäckt incidenten. Anmälan gör det möjligt för oss att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan vi också utöva våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Dataskyddsförordningen tar hänsyn till att det inte alltid är möjligt att utreda en personuppgiftsincident fullt ut inom 72 timmar. Om inte all information finns på plats kan ni komplettera i ett senare skede.

Informera registrerade personer

Enligt dataskyddsförordningen måste ni som personuppgiftsansvarig informera de registrerade utan onödigt dröjsmål om ni bedömer att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Informera de registrerade

Sträva efter proaktivt arbete

För att undvika personuppgiftsincidenter är det viktigt att arbeta medvetet och proaktivt.

Ni måste vara förberedda på att personuppgiftsincidenter kan inträffa i organisationen och ha inrättat rutiner för hur ni ska hantera dem så snabbt och effektivt som möjligt. Det är viktigt att vidta förebyggande åtgärder, exempelvis genom att

• skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter
• upprätta en handlingsplan för hur er verksamhet ska hantera personuppgiftsincidenter
• dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till IMY.

Europeiska dataskyddsstyrelsen (EDPB) har tagit fram en vägledning för hur olika typer av incidenter bör hanteras:

Riktlinje 01/2021 om exempel på personuppgiftsincidenter hos EDPB

Personuppgiftsbiträdets roll

Om er organisation anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos biträdet, måste personuppgiftsbiträdet omedelbart rapportera den till er. Det juridiska ansvaret att anmäla personuppgiftsincidenten till IMY ligger hos den personuppgiftsansvariga organisationen.