Hoppa till innehåll på sidan

Exempel på personuppgifts­incidenter

För att hjälpa er att bedöma om ni behöver anmäla incidenten till oss och om ni behöver informera de registrerade följer nedan ett antal vägledande exempel. Om omständigheter tillkommer eller förändras kan det förändra bedömningen angående om ni behöver anmäla incidenten eller om de registrerade behöver informeras om händelsen.

I Europeiska dataskyddstyrelsens (EDPB) riktlinjer finns fler exempel och även vägledning om hur olika typer av incidenter bör hanteras.

Riktlinje 01/2021 om exempel på personuppgiftsincidenter hos EDPB

Exempel

Ett sjukhus drabbas av en personuppgiftsincident som leder till obehörigt röjande av patientjournaler. Personuppgiftsincidenten kan sannolikt få betydande inverkan på individerna, på grund av att uppgifterna är känsliga och att patienternas konfidentiella medicinska detaljer blir kända för andra. Detta kan medföra en hög risk för patienternas rättigheter och friheter.

Gör så här

Anmäl personuppgiftsincidenten till IMY, informera dem som drabbats och dokumentera incidenten internt. 

Om en kunddatabas blir stulen bör ni antagligen informera kunderna. Kunddatabasens personuppgifter kan användas för att begå identitetsbedrägeri, vilket kan leda till ekonomisk förlust eller andra konsekvenser för de drabbade. Personuppgiftsincidenten kan alltså leda till en hög risk för fysiska personers rättigheter och friheter.

Gör så här

Anmäl personuppgiftsincidenten till IMY, informera dem som drabbats och dokumentera incidenten internt.

Ett universitet drabbas av en personuppgiftsincident när en anställd av misstag raderar ett register med kontaktuppgifter till de anställda. Detaljerna återskapas senare från en säkerhetskopia. Det är osannolikt att detta medför en hög risk för de anställdas rättigheter och friheter. De behöver därför inte informeras och ni behöver heller inte anmäla händelsen, men dokumentera ändå incidenten.

Gör så här

Motivera era bedömningar och dokumentera incidenten internt.

Om en telefonlista för personalen har försvunnit, eller om någon har ändrat i den utan tillåtelse, behöver ni normalt sett inte anmäla det till IMY, och då behöver ni inte heller informera de anställda. Händelsen kommer troligen inte att leda till en hög risk för fysiska personers rättigheter och friheter.

Gör så här

Motivera era bedömningar och dokumentera incidenten internt.

En lista med deltagare i en kurs om dataskydd skickas via mejl till fel konferensanläggning av en personuppgiftsansvarig. Listan innehåller namn och adress på alla 15 deltagare. Ingen av deltagarna har skyddad identitet. Den personuppgiftsansvariga upptäcker misstaget och informerar den felaktiga mottagaren om felskicket och ber mottagaren att radera mejlet.

Listan innehåller inga känsliga personuppgifter. Antalet personuppgifter och personer som drabbats är förhållandevis få. Det faktum att den personuppgiftsansvariga kontaktade den felaktiga mottagaren och bad mottagaren att radera mejlet ses som en mildrande omständighet. Mot bakgrund av omständigheterna i fallet behöver incidenten inte anmälas till IMY.

Gör så här

Motivera era bedömningar och dokumentera incidenten internt.

Senast uppdaterad: 24 mars 2022
Sidans etiketter Personuppgiftsincident