Personuppgiftsincident - vad gäller enligt GDPR?
En personuppgiftsincident uppstår när personuppgifter hanteras på ett sätt som äventyrar säkerheten – till exempel vid dataintrång, felaktiga utskick eller obehörig åtkomst. Enligt GDPR måste företag och organisationer agera snabbt när något händer: incidenten ska dokumenteras, bedömas och i vissa fall anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar.
Att veta hur man ska agera när en incident inträffar kan vara avgörande – både för att skydda individer och för att undvika sanktionsavgifter.
Vad är en personuppgiftsincident?
En personuppgiftsincident är en händelse som påverkar säkerheten vid behandling av personuppgifter. Det kan handla om att uppgifter gått förlorade, hamnat i orätta händer, ändrats utan tillstånd eller blivit otillgängliga.
Kort sagt: varje situation där personuppgifter inte längre är skyddade enligt GDPR betraktas som en incident.
Vanliga exempel på personuppgiftsincidenter
Personuppgiftsincidenter behöver inte alltid vara stora dataintrång – de sker ofta i vardagliga situationer. Några vanliga exempel är:
- mejl med känsliga uppgifter skickas till fel mottagare
- en dator, USB-sticka eller mobil med personuppgifter tappas bort
- obehörig åtkomst till personal- eller kundregister
- felaktig publicering av personuppgifter på webben
- IT-intrång eller ransomware som gör uppgifter otillgängliga
I samtliga fall behöver organisationen bedöma om händelsen innebär risk för individernas fri- och rättigheter.
Vad säger GDPR om incidenter?
Enligt dataskyddsförordningen (GDPR) har den personuppgiftsansvarige skyldighet att upptäcka, utreda och dokumentera incidenter. Om händelsen kan innebära risk för fysiska personers integritet, måste den dessutom anmälas till IMY inom 72 timmar efter att den upptäckts.
Om risken bedöms som allvarlig måste även de berörda individerna informeras. Syftet är att de ska kunna vidta egna åtgärder – till exempel byta lösenord eller skydda sin identitet.
När måste incidenten anmälas till IMY?
En incident ska anmälas till Integritetsskyddsmyndigheten när det finns risk för att individer påverkas negativt – till exempel vid röjda hälsouppgifter, personnummer, ekonomisk information eller annan känslig data.
Anmälan ska innehålla:
- vad som hänt och när
- vilka typer av personuppgifter som påverkats
- antalet berörda individer
- konsekvenser för de registrerade
- vilka åtgärder som vidtagits eller planeras
Bedömningen ska göras snabbt – även om alla uppgifter inte är klara måste anmälan skickas inom 72 timmar.
Så dokumenterar du en personuppgiftsincident
Även om en incident inte anmäls till IMY ska den alltid dokumenteras internt. Dokumentationen bör innehålla:
- en beskrivning av händelsen
- bedömningen av risk
- beslut om anmälan eller ej
- vidtagna åtgärder och ansvariga personer
Det är viktigt att kunna visa att ni gjort en riskbedömning och haft kontroll på situationen – något IMY ofta granskar vid tillsyn.
Förebygg och hantera incidenter i tid
Det bästa skyddet mot personuppgiftsincidenter är förebyggande arbete. Företag och organisationer bör ha:
- tydliga rutiner för incidentrapportering
- utbildning för personalen om hantering av personuppgifter
- tekniska skydd som kryptering och åtkomstkontroller
- regelbunden granskning av system och leverantörer
- uppdaterad dokumentation av GDPR-processer
Ett genomtänkt dataskyddsarbete gör det lättare att agera snabbt när något händer – och minskar risken för sanktionsavgifter.
Stärk ert dataskydd med stöd från Allt om Juridik
När en personuppgiftsincident inträffar behöver beslut fattas snabbt – men också rätt. Vi på Allt om Juridik hjälper företag och organisationer med IT och GDPR-rätt och att bygga upp rutiner som gör att ni står rustade inför framtiden.
Vi hjälper dig med frågor inom affärsjuridik
- Trygghet i varje beslut – Vi säkerställer att du följer lagen och undviker kostsamma misstag.
- Tydliga svar utan krångel – Du får konkret rådgivning som går att agera på direkt.
- Tillgänglig expertis – Våra jurister finns till för dig - hör av dig så berättar vi mer.
Boka rådgivning
Vanliga frågor om personuppgiftsincidenter
En personuppgiftsincident är en händelse som påverkar säkerheten vid behandling av personuppgifter – till exempel dataintrång, borttappade filer, felaktiga mejlutskick eller obehörig åtkomst.
Om incidenten kan innebära risk för individens fri- och rättigheter ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Händelser med låg risk ska dokumenteras internt men behöver inte rapporteras.
Anmälan ska beskriva vad som hänt, när det inträffade, vilka personuppgifter som påverkats, hur många individer som berörs och vilka åtgärder som vidtagits.
Nej, bara om risken för skada bedöms som allvarlig – till exempel om känsliga personuppgifter har röjts. Då måste de berörda informeras om vad som hänt och hur de kan skydda sig.
Underlåtenhet att rapportera en incident kan leda till sanktionsavgifter enligt GDPR. Det är därför viktigt att alltid dokumentera och, vid behov, anmäla i tid.
Alla incidenter ska registreras i en incidentlogg. Den ska innehålla en beskrivning av händelsen, riskbedömning, beslut om anmälan och de åtgärder som vidtagits.
