Fråga: Hej, Ska jag anmäla ett dataintrång till Polisen och IMY, eller räcker det med att anmäla det till Polisen? Personuppgiftsincidenter ska ju bli anmälda till IMY men i och med att det är ett brott med dataintrång, är jag osäker om jag endast ska kontakta Polisen.
Anmäla ett dataintrång till Polisen och IMY
Svar: Ett dataintrång ska bli anmält både till Polisen och IMY, som är en förkortning av Integritetsskyddsmyndigheten. Detsamma gäller om det är ett misstänkt dataintrång. Anledningen till varför det ska bli anmält till Polisen också, är eftersom dataintrång utgör ett brott enligt brottsbalken. Dessutom kan det utgöra en personuppgiftsincident som i sådan fall också ska bli anmält till IMY. Anmälan till IMY ska ske senast 72 timmar från och med att incidenten blev upptäckt. Ett företag fick betala en sanktionsavgift på grund av att anmälan inte skedde itid.
Om ett företag inte följer GDPR, kan det leda till stora ekonomiska konsekvenser. IMY, som är tillsynsmyndighet, kan tilldela sanktionsavgifter som kan uppgå till miljonbelopp. Däremot får inte ett företag en sanktionsavgift för varje överträdelse. I vissa fall kan IMY istället tilldela en reprimand, som är ungefär som en tillrättavisning/anmärkning.
Företag ska anmäla personuppgiftsincidenter till IMY. Däremot ska inte alla incidenter bli anmälda. Det är enbart incidenten som sannolikt har medfört en risk för de registrerades fri- och rättigheter som ska bli anmälda. De registrerades fri- och rättigheter kan bli riskerade exempelvis om kontrollen över uppgifterna går förlorad, om de registrerade blir utsatta för diskriminering, bedrägeri, brott mot tystnadsplikt m.m.
Den vanligaste personuppgiftsincidenten de två första åren sedan GDPR började gälla år 2018, var mejl som blev skickade till fel mottagare. Därför kan det vara bra att dubbelkolla mottagaradressen en extra gång innan meddelandet blir skickat, för att undvika att begå denna vanliga personuppgiftsincident.
