Hoppa till innehåll på sidan

Under kvällen den 25 mars genomför vi ett planerat underhåll av IMY.se.
Webbplatsen, och våra e-tjänster, kan därför vara svåra att nå vissa stunder under denna kväll. Besökare kan komma att se en servicesida.

Hantering av personuppgifts­incidenter

Konsekvenserna av en personuppgiftsincident kan vara allvarliga både för er organisation och för de personer som drabbas av incidenten. Det är därför viktigt att arbeta förebyggande och systematiskt för att förhindra incidenter.

Även om alla personuppgiftsincidenter är säkerhetsincidenter, är inte alla säkerhetsincidenter personuppgiftsincidenter. När en incident har inträffat måste den personuppgiftsansvariga därför göra en bedömning om det är en personuppgiftsincident eller inte. Om det är en personuppgiftsincident bör ni så snabbt som möjligt bedöma riskerna för de registrerade.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan skada registrerade och påverka förtroendet för organisationen som behandlar personuppgifter. Den kan också leda till att IMY genom tillsyn dömer ut sanktionsavgifter.

Dokumentera alla personuppgiftsincidenter

Ni ska dokumentera alla personuppgiftsincidenter. Dokumentationen ska bland annat innehålla information om vad som har hänt, varför det har hänt och vilka personuppgifter som är påverkade. Den ska även innehålla konsekvenser för de registrerade och de åtgärder som ni har vidtagit för ett minska konsekvenserna.

Ni bör även dokumentera era skäl för de beslut som ni har fattat med anledning av personuppgiftsincidenten och er riskbedömning. Det bör till exempel framgå varför ni bedömt att en incident inte ska anmälas eller varför registrerade inte ska informeras.

Dokumentationen kan ni använda för att identifiera brister och utvecklingsbehov i det löpande och systematiska arbetet med dataskydd och informationssäkerhet. Det ska utifrån dokumentationen vara möjligt att kontrollera att ni följt bestämmelserna i dataskyddsförordningen.

Gör en riskbedömning

När det har skett en personuppgiftsincident bör ni så snabbt som möjligt bedöma riskerna för de registrerades fri- och rättigheter. I bedömningen bör ni ta hänsyn till de potentiella konsekvenserna och sannolikheten för att de inträffar. Riskbedömningen är bland annat avgörande för om incidenten behöver anmälas och om de registrerade behöver informeras om händelsen. Exempel på faktorer som kan beaktas i bedömningen:

Vilka konsekvenser en incident kommer att få beror på vad som har hänt. Ett felaktigt brevutskick med känsliga uppgifter kan få andra konsekvenser än en incident där en persons medicinska uppgifter har gått förlorade eller inte längre är tillgängliga. Vilken typ av incident som inträffat har alltså betydelse för vilka risker de registrerade kan tänkas drabbas av.

Även personuppgifternas art och känslighet har betydelse för riskbedömningen. Identitetshandlingar och finansiella uppgifter kan tillsammans användas för exempelvis identitetsstöld. En kombination av uppgifter kan i vissa fall vara känsligare än endast en typ av personuppgifter. Om det rör sig om en större mängd personuppgifter påverkar även det riskbedömningen.

Hur enkelt det är att identifiera enskilda personer med hjälp av uppgifterna får betydelse för vilka konsekvenser personuppgiftsincidenten kan medföra. Hur enkelt uppgifterna, direkt eller indirekt, kan användas för att identifiera en enskild person kan exempelvis påverkas av om personuppgifterna skyddats genom kryptering eller pseudonymisering.

Konsekvenserna av en personuppgiftsincident kan anses vara särskilt allvarliga om incidenten riskerar att leda till exempelvis diskriminering, identitetsstöld, bedrägeri, fysisk skada, psykisk oro eller skadat anseende.

Det har betydelse om den personuppgiftsansvariga vet om att personuppgifterna hamnat hos personer vars avsikter är okända eller skadliga. Om uppgifterna istället skickats till en mottagare som är betrodd kan risken för enskildas rättigheter och friheter anses vara lägre.

En personuppgiftsincident kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, exempelvis barn eller andra personer i sårbarare eller svagare ställning. Det kan även finnas andra faktorer hos den registrerade som kan påverka vilken effekt en incident får. Till exempel när den registrerade har skyddade personuppgifter. Det är därför viktigt att ta hänsyn till vilka de registrerade är och om det finns egenskaper hos dem som kan få betydelse för riskbedömningen.

Vilken typ av verksamhet den personuppgiftsansvariga bedriver kan påverka vilka risker en personuppgiftsincident innebär för de registrerade.

Ofta leder en personuppgiftsincident till allvarligare risker ju fler individer som påverkas. En incident kan dock få svåra följder även för en enda individ, beroende på personuppgifternas art och i vilket sammanhang de har äventyrats. Här är det viktigt att ta hänsyn till effekternas sannolikhet och hur svårt de drabbar de berörda personerna.


Gör en anmälan till IMY

Om det inte är osannolikt att personuppgiftsincidenten medför en risk för de registrerades rättigheter och friheter måste ni anmäla den till IMY eller annan ansvarig tillsynsmyndighet. Läs mer om gränsöverskridande personuppgifter här.

I de fall personuppgiftsincidenten ska anmälas till IMY ska ni göra det inom 72 timmar från att ni fått vetskap om incidenten. Om ni inte har all nödvändig information vid den tidpunkten är det möjlighet att komplettera den inlämnade anmälan.

Uppger ni i anmälan att ni ska skicka in kompletteringar, är ni själva ansvariga för att det görs. Om ingen komplettering kommit in efter 4 veckor kan IMY fatta beslut i ärendet baserat på befintlig information.  

Om ni inte har lämnat in en anmälan inom 72 timmar eller om anmälan är ofullständig ska ni motivera anledningen till detta i er anmälan.

Anmäl eller komplettera personuppgiftsincident

 

Vi kontaktar er om vi behöver ytterligare information eller om vi beslutar oss för att inleda tillsyn.

Anmälan gör det möjligt för oss att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan en anmälan bland annat leda till att vi utövar våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Informera de registrerade

Enligt dataskyddsförordningen måste ni som personuppgiftsansvarig informera de registrerade utan onödigt dröjsmål om ni bedömer att personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Syftet med att informera de registrerade är att ge dem möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador av en personuppgiftsincident.

Checklista

Information ni ska lämna till de registrerade

Följande punkter är minimikrav för vilken information ni ska lämna till de registrerade.
  • 1

    Beskriv orsaken till personuppgiftsincidenten klart och tydligt.

  • 2

    Ge namn och kontaktuppgifter till dataskyddsombudet, om er organisation har ett, eller till en annan kontakt som kan svara på frågor.

  • 3

    Beskriv de sannolika konsekvenserna av personuppgiftsincidenten.

  • 4

    Beskriv vad ni har gjort, eller tänker göra, för att hantera personuppgiftsincidenten.

  • 5

    I förekommande fall: Beskriv vad ni har gjort för att mildra eventuella negativa effekter.

 

Riktlinjer

Fördjupa dig

Rättsinformation

Fördjupa dig
Senast uppdaterad: 20 mars 2025
Sidans etiketter Personuppgiftsincident