Incident

Vad är en personuppgiftsincident?

För att räknas om incident ska insamlade personuppgifter på något sätt ha
• förstörts oavsiktligt eller olagligt
• gått förlorade eller ändrats eller
• röjts till någon obehörig

En incident kan innebära risker för människors fri- och rättigheter.
De kan råka ut för ekonomisk skada eller kränkning av fri- och rättigheter. Vid bedömning av riskerna med personuppgiftsincidenter är det viktigt att fokusera på de potentiella negativa konsekvenserna för registrerade personer. Det spelar ingen roll om det har skett oavsiktligt eller inte.

Allt ska inte anmälas, men om det är sannolikt att incidenten medför en risk för personers fri- och rättigheter så ska en anmälan göras. Om en incident har skett och den inte anmäls ska det dokumenteras med händelse och skälen till beslut i frågan. 

I skäl 85 i dataskyddsförordningen förklaras följande:

En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.

Om du misstänker eller vet att en incident har inträffat meddelar du detta omedelbart till kontaktperson för den förvaltning/bolag som du tillhör. Du kan också kontakta dataskyddsombudet.

Om incidenten inträffar hos ett personuppgiftbiträdesombud är de skyldiga att omedelbart kontakt PuA (personuppgiftsansvarig). 

Anmälan till Datainspektionen ska ske inom 72 timmar. Om man inte har alla fakta vid första anmälan kan man fylla på senare. Myndigheten kan fatta beslut om de registrerade måste informeras eller inte. De kan också ge råd om hur detta ska ske. I princip ska alltid den registrerade få information om vad som har skett. 

Incidentrapportering

Om du misstänker att en incident med personuppgifter har hänt – fyll i formuläret och om det behövs kontaktas du av dataskyddsombudet för vidare diskussion. 

Anmälan om misstänkt incident

Mer information om incidenter finns på  Datainspektionen – personuppgiftsincident