Vad händer vid personuppgiftsincidenter, dataintrång och dataläckor?
Vad är en personuppgiftsincident?
En personuppgiftsincident kallas det när en personuppgift olovligen förstörs, försvinner eller ändras. Personuppgiftsincidenter sker oftast i samband med dataintrång eller dataläckor, alltså då en utomstående person som inte har rätt att behandla personuppgifter bryter sig in i det system där uppgifterna lagras. Dataintrång och läckor kan ske i samband med stulna elektronikprodukter, spridning av virusprogram eller system intrång (hackningar).
Vilka är konsekvenserna av en personuppgiftsincident?
Personuppgiftsincidenter kan innebära allvarliga konsekvenser och risker för den utsatte. Spridningen av personuppgifter, och då särskilt känsliga personuppgifter, kan exempelvis resultera i ekonomisk skada, diskriminering, hatbrott, förtal, identitetsstöld eller bedrägeri. Därutöver kan en personuppgift som inte hanterats på ett korrekt sätt minska förtroendet för det bolag, organisation eller myndighet som behandlar uppgiften eftersom man som överlåtande av information, exempelvis kund, anställd eller liknande, inte kan lita på att personuppgiftsansvarige har tillräckligt med IT-skydd.
Vad ska göras vid personuppgiftsincident och dataintrång enligt GDPR?
Vid personuppgiftsincidener ska tillsynsmyndigheten (IMY) och den vars uppgifter olovligen har spridits meddelas. Det finns dock endast krav på meddelande av dessa parter då incidenten rör en fysisk persons fri- och rättigheter. Detta innebär att mindre personuppgiftsincidenter i vissa fall inte behöver anmälas. Huruvida anmälan bör ske ska bedömas av den personuppgiftsansvarige i varje enskilt fall.
Anmälan till tillsynsmyndigheten sker via en elektronisk blankett som skickas in till myndigheten utan oskäligt dröjsmål. Med oskäligt dröjsmål menas att anmälan helst ska ske inom 72 timmar från det att den personuppgiftsansvarige blivit medveten om dataläckorna. Dataskyddsförordningen (GDPR) har emellanåt överseende med att man som personuppgiftsansvarig inte alltid har möjlighet att samla in den nödvändiga information som behövs av tillsynsmyndigheten på 72 timmar. Därmed kan information om incidenten kompletteras även efter att den angivna 72 timmars fristen löpt ut. En ny anmälan ska dock inte ske senare än 72 timmar efter kännedom om intrånget.
Då man anmäler personuppgiftsincidenter till den utsatte ska anmälan även ske utan oskäligt dröjsmål och innehålla en tydlig beskrivning av personuppgiftsincidenten, dess konsekvenser, vilka åtgärder den utsatte bör vidta och den personuppgiftsansvariges kontaktuppgifter.
Personuppgiftsbiträdets roll vid personuppgiftsincidenter.
Har en personuppgiftsansvarig - exempelvis ett bolag, organisation eller myndighet som samlar in, behandlar och ansvarar för en korrekt hantering av personuppgifter - överlåtit uppgifterna till ett personuppgiftsbiträde - alltså en utomstående part till den personuppgiftsansvarige som hjälper till med behandlingen av uppgifterna som den personuppgiftsansvarige förfogar över - ska biträdet anmäla personuppgiftsincidenter till den personuppgiftsansvarige. Det är sedan den personuppgiftsansvarige som ansvarar för att anmäla incidenten till den enskilde och tillsynsmyndigheten.
Vill ni få hjälp med GDPR-frågor?
