Hoppa till innehåll på sidan

Under kvällen den 25 mars genomför vi ett planerat underhåll av IMY.se.
Webbplatsen, och våra e-tjänster, kan därför vara svåra att nå vissa stunder under denna kväll. Besökare kan komma att se en servicesida.

Personuppgifts­incidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Exempel på incidenter

Exempel
  • En obehörig part får tillgång till personuppgifter, till exempel om någon skickar personuppgifter till en mottagare som inte ska ha dem.
  • Datorer som innehåller personuppgifter förloras eller stjäls.
  • Någon ändrar personuppgifter utan tillstånd.
  • Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.

 

I Europeiska dataskyddstyrelsens (EDPB) riktlinjer finns fler exempel och även vägledning om hur olika typer av incidenter bör hanteras.

Riktlinje 01/2021 om exempel på personuppgiftsincidenter hos EDPB

De registrerade kan drabbas av allvarliga konsekvenser

En personuppgiftsincident kan innebära risker för registrerade personers fri- och rättigheter och kan få allvarliga konsekvenser, till exempel:

  • ekonomisk skada
  • diskriminering
  • identitetsstöld
  • bedrägeri
  • skadat anseende

Agera skyndsamt och anmäl vissa personuppgiftsincidenter

Dataskyddsförordningen ställer krav på ett skyndsamt agerande från er som är personuppgiftsansvarig när en personuppgiftsincident har inträffat. Ni ska prioritera undersökningen av personuppgiftsincidenter och avsätta tillräckliga resurser för arbetet.

Som personuppgiftsansvarig ska ni bedöma riskerna för att incidenten påverkar den registrerades rättigheter och friheter samt föra dokumentation av inträffade personuppgiftsincidenter. Ni ska göra en anmälan om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers fri- och rättigheter. En anmälan ska som utgångspunkt göras 72 timmar från det att ni fått vetskap om  personuppgiftsincidenten.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter är utgångspunkten att ni som personuppgiftsansvarig ska informera de registrerade om personuppgiftsincidenten. Informationen ska ni lämna till den registrerade utan onödigt dröjsmål.

Läs mer om hantering av personuppgiftsincidenter

Anmäl personuppgiftsincident

 

Gränsöverskridande personuppgiftsincidenter

En personuppgiftsincident kan ha anknytning till flera medlemsstater i EU. Sådana incidenter ska anmälas till den myndighet ni som personuppgiftsansvarig har bedömt är ansvarig tillsynsmyndighet.

Innan ni påbörjar en ny personuppgiftsbehandling är det därför viktigt att ni avgör vilken myndighet som kommer att bli er ansvariga tillsynsmyndighet, så att ni vet till vilken myndighet ni ska vända er om en personuppgiftsincident inträffar.

För att veta vilken myndighet som är ansvarig tillsynsmyndighet ska ni utgå från var ni har ert huvudsakliga eller enda verksamhetsställe.

Arbeta riskmedvetet och förebyggande

För att undvika personuppgiftsincidenter och minska dess påverkan är det viktigt att arbeta riskmedvetet och förebyggande. Ni kan läsa mer om hur detta på sidan för informationssäkerhet nedan.

Ni måste vara förberedda på att personuppgiftsincidenter kan inträffa och ha rutiner för hur ni ska hantera dem så snabbt och effektivt som möjligt. Det är viktigt att vidta förebyggande åtgärder, exempelvis genom att

  • skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter,
  • upprätta en handlingsplan för hur er verksamhet ska hantera personuppgiftsincidenter,
  • involvera dataskyddsombudet i personuppgiftsincidentsarbetet,
  • dokumentera alla personuppgiftsincidenter och utvärdera riskerna för nya incidenter.

Läs mer om informationssäkerhet

Om ni har anlitat ett personuppgiftsbiträde

Om ni anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos biträdet, måste personuppgiftsbiträdet utan onödigt dröjsmål rapportera den till er. Det är alltid ni som är personuppgiftsansvarig som har ansvaret att anmäla personuppgiftsincidenten till tillsynsmyndigheten.

It-leverantör utsätts för dataintrång

Exempel

Ni anlitar en it-leverantör för att arkivera och lagra kunduppgifter. It-leverantören utsätts för ett dataintrång som leder till att obehöriga får åtkomst till uppgifter om era kunder. Eftersom händelsen är en personuppgiftsincident ska it-leverantören omedelbart rapportera den till er som är personuppgiftsansvarig, som i sin tur anmäler till IMY.

Läs mer om personuppgiftsbiträdets skyldigheter

Riktlinjer

Fördjupa dig

Rapporter om personuppgiftsincidenter

Fördjupa dig

Rättsinformation

Fördjupa dig

 

Senast uppdaterad: 20 mars 2025
Sidans etiketter Dataskydd, Personuppgiftsincident