Anmälningar av personuppgiftsincidenter, frågor och svar

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
 

Foto av författare
Skribent: Bo Lilja
Uppdaterades:
Så finansieras sidanVi kan komma att erhålla ersättning från annonörer via affiliatelänkar.

Vad menas med en personuppgiftsincident (data breach på engelska)?

Varför ska man anmäla sådana incidenter till Datainspektionen?

Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.
 

När ska incidenter anmälas?

Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

Om det inte är möjligt att lämna all information inom 72 timmar kan man dela upp det och lämna uppgifter vid olika tillfällen allt eftersom det blir möjligt. Hinner man inte göra anmälan alls inom 72 timmar ska man ändå informera Datainspektionen och ange skälen för förseningen.
 

Vilken information ska en sådan anmälan innehålla?

Informationen ska innehålla uppgifter om

  • Vilken typ av incident det är fråga om,
  • Vilka kategorier av personer som kan komma att beröras,
  • Hur många personer det berör,
  • Vilka konsekvenser incidenten kan få samt
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.
     

Vem ska göra anmälan?

Den personuppgiftsansvarige, det vill säga det företag, myndighet eller annan organisation som bestämmer ändamål och medel för behandlingen. Men det finns också en skyldighet för den som har anlitats som personuppgiftsbiträde att uppmärksamma den personuppgiftsansvarige på en säkerhetsincident så fort den upptäckts.
 

Kommer information som lämnas vid en sådan anmälan att publiceras av Datainspektionen eller omfattas den av sekretess?

Det finns inget i förordningen som kräver att Datainspektionen publicerar information om anmälda incidenter. Även om Datainspektionen inte publicerar information från en anmälan om personuppgiftsincidenter, kan sådan information komma att behöva lämnas ut i enlighet med offentlighetsprincipen om det begärs. Informationen får dock inte lämnas ut om det finns bestämmelser i offentlighets- och sekretesslagen som hindrar detta. Om någon skulle begära ut information som kommer in i samband med en sådan anmälan får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om informationen ska lämnas ut eller inte.

Observera att den personuppgiftsansvarige under vissa omständigheter själv är skyldig att informera de personer vars uppgifter berörs av incidenten. Den informationen ska bland annat omfatta vilka konsekvenser incidenten kan leda till och vilka åtgärder man vidtagit för att motverka eventuella negativa följder. Syftet är bland annat att göra det möjligt för de enskilda personerna att själva vidta nödvändiga åtgärder.

När Datainspektionen blir informerad om en incident kan myndigheten fatta beslut om att den personuppgiftsansvarige måste informera de registrerade eller att det inte är nödvändigt. Om de registrerade ska informeras kan Datainspektionen komma att ge råd om hur detta ska ske.
 

Svensk version av dataskyddsförordningen (webbversion)

Svensk version av dataskyddsförordningen (pdf-version)

Engelsk version av dataskyddsförordningen (pdf-version)
 

Läs mer om:

Överföring av personuppgifter utanför EU och EES
Utlämnande av allmänna handlingar
Vägledning till personuppgiftsansvariga
Vägledning till personuppgiftsbiträden
Allmänna frågor om EU:s dataskyddsreform
Frågor och svar om EU:s dataskyddsreform, ansvariga
Frågor och svar om dataskyddsförordningen, dataskyddsombud
 

Källa:

Datainspektionen

Lämna en kommentar

Om Expowera

Expowera.se erbjuder omfattande kunskapsstöd för mindre företag inom utvalda huvudområden. Trots vår inriktning är informationen även värdefull för större företag och studenter. Utöver företagsrelaterad insikt, hittar du råd och kunskap inom privatekonomi, som täcker allt från sparande och lån till försäkring och pension.

På Expowera tillhandahålls information av allmän karaktär vilken inte riktar sig till någon speciell fysisk eller juridisk person. Vår strävan är att informationen ska vara så korrekt och aktuell som möjligt. Erfarenheten säger dock att det är svårt att hålla full kontroll över en så stor mängd skriven information som finns på expowera. Om felaktigheter upptäcks är vi mycket tacksamma för besked så att vi snarast möjligt kan rätta dessa.

Företagsuppgifter

Hogmalms Media AB
Ytterbyvägen 5c
442 30 Kungälv

Kontakt

E-post: info (at) expowera.se
Org.nummer: 559132-4347

Sidor

Nyheter ↗︎

Om Expowera

Kontakta oss

Spridning

Rapportera fel

Sitemap

Villkor & Cookies

Användarvillkor

Integritetspolicy

Cookies

Ansvarsfriskrivning

Information

Kunskapsbank

Privatekonomi

Ekonomi

Inköp

EU-relaterat

Juridik

Import & Export

Företagande

Försäljning

Marknadsföring

Företagande och livsmedel

Företagande och miljö

Företagsekonomi

Starta ett företag

Företaget