Personuppgiftsincidenter enligt dataskyddsförordningen (GDPR)
Nedan kan du läsa mer om vad personuppgiftsincidenter är enligt dataskyddsförordningen, även kallad GDPR och information om anmälan av incidenter till tillsynsmyndigheten.
Personuppgiftsincidenter
- Dataintrång vilket även är ett brott och därför också ska bli anmält till Polisen.
- När personuppgifter blivit förstörda, exempelvis om ett strömavbrott sker och det raderar uppgifter.
- Om personuppgifter kommit i händer på obehöriga personer.
- Medarbetare förlorar sin mobiltelefon eller dator som innehåller kontaktuppgifter och/eller andra personuppgifter.
Vanlig personuppgiftsincident och orsak
En vanlig personuppgiftsincident är mejl som blivit skickat till fel mottagare. IMY brukar utvärdera olika delar av GDPR årligen och de första åren då GDPR började gälla, var felskickade mejl den vanligaste personuppgiftsincidenten. Orsaken till varför personuppgiftsincidenter sker, har till största delen berott på den mänskliga faktorn. Alla personuppgiftsincidenter är inte brottsliga förfaranden såsom dataintrång, utan det kan bero på ett vanligt misstag.
Enligt en rapport från IMY som blev publicerad år 2020 stod IT-angrepp för ungefär 10% av incidenterna år 2019. Exempelvis genom nätfiske där en person får mejl som innehåller en länk. Genom att trycka på länken, kan det innebära att någon kommer åt information från datorn, såsom personuppgifter.
Tidsram för anmälan av Personuppgiftsincidenter enligt dataskyddsförordningen (GDPR)till IMY
När ett företag upptäcker en personuppgiftsincident som ska bli anmäld till IMY, ska det ske inom 72 timmar räknat från och med upptäckten. Ett företag som inte gör anmälan i tid, kan få en sanktionsavgift som konsekvens. Det är möjligt att skicka in anmälan senare än 72 timmar senare men då måste det finnas en giltig motivering.
Det är viktigt att poängtera att 72 timmar gäller från upptäckten, inte från när incidenten har inträffat. Dessutom ska den personuppgiftsansvarige dokumentera incidenten internt i loggboken, som företag ska ha.
IMY har skapat en e-tjänst för att anmäla personuppgiftsincidenter för att göra processen smidigare och enklare. Det är möjligt att komplettera anmälan i efterhand och därför är det inte någon bra förklaring eller orsak att vara sen för att kunna färdigställa anmälan.
Obehörigt röjande och obehörig åtkomst
Definitionen av obehörigt röjande av personuppgifter innebär att någon som inte har behörighet för att få ta del av personuppgifterna, får det genom att någon annan avslöjar uppgifterna. Det kan exempelvis ske genom att den personuppgiftsansvarige felaktigt publicerar uppgifterna offentligt eller skickar uppgifterna till någon obehörig person. Incidenten sker så fort röjandet har inträffat och det är inte ett krav att någon faktiskt har mottagit uppgifterna.
Till skillnad från obehörig åtkomst där personuppgifter också kommer till någon obehörig till kännedom, men vid sådana fall har det inte skett genom ett röjande från någon annan person. Obehörig åtkomst kan ske både externt till utomstående personer, men även internt till personer som arbetar på företaget men som inte har befogenhet att ha tillgång till personuppgifterna. Denna incident kan ske både oavsiktligt och avsiktligt.
När en incident inträffar hos ett biträde
Det är viktigt att veta hur rapporteringsskyldigheten fungerar när en personuppgiftsincident inträffar hos ett personuppgiftsbiträde. Det är den personuppgiftsansvarige som har ansvar att rapportera incidenten till IMY, inte biträdet. Däremot måste det framgå viss information när biträdet meddelar den ansvarige, eftersom den ansvarige ska framföra det till IMY.
Biträdet ska rapportera incidenten till den ansvarige utan onödigt dröjsmål från och med upptäckten. I personuppgiftsbiträdesavtalet ska det bland annat framgå om rapporteringsskyldigheten. Dessutom behöver personuppgiftsbiträdesavtal vara skriftliga för att vara giltiga.
Rapporteringsskyldighet till registrerade
I vissa fall har den personuppgiftsansvarige även skyldighet att rapportera om incidenten till registrerade som har blivit påverkade. Däremot finns det undantag.
Om det är så att konsekvensen av incidenten med stor sannolikhet leder till att risken är stor för att friheterna och rättigheterna hos individerna blir inskränkta, ska de registrerade bli informerade. Det är viktigt att informationen är tydlig och förståelig av målgruppen.
De tre undantagen om rapporteringsskyldigheten till registrerade är för det första om företaget har gjort så att personuppgifterna framförallt inte är läsbara längre. Exempelvis genom att använda kryptering och därefter göra informationen oläsbar när incidenten inträffar.
Det andra undantaget handlar om att företaget har genomfört åtgärder så att den höga risken för inskränkning av de registrerades fri- och rättigheter inte längre finns. Exempelvis genom att byta lösenord direkt.
Det sista undantaget handlar istället om att meddela de registrerade genom allmänheten, istället för att kontakta alla enskilda separat. I vissa fall kan det vara många som är påverkade, exempelvis om det är ett stort företag med miljoner användare och därför kan det medföra en för stor ansträngning att kontakta alla. Då kan företaget istället få ut informationen genom media, annonser och sin webbplats.
Förberedelser inför personuppgiftsincidenter
Ett företag kan göra förberedelser inför personuppgiftsincidenter. Både för att minska risken för att incidenter inträffar samt för hur företaget ska agera om en incident inträffar, för att minimera konsekvenserna. Bra förberedelser kan vara avgörande för att minimera konsekvenserna av incidenter, eftersom företaget ofta behöver agera direkt istället för att börja planera för vem som ska göra vad när det väl inträffar.
Det gäller även att vara förberedd på hur personuppgiftsbiträdet och den personuppgiftsansvarige ska hantera incidenter. Exempelvis genom att tydliggöra det i personuppgiftsbiträdesavtalet och ange kontaktvägar m.m.
Konsekvenserna för registrerade vid personuppgiftsincidenter
När en personuppgiftsincident inträffar, kan det innebära stora konsekvenser för registrerade. Däremot beror det på vilka personuppgifter som är omfattade av incidenten. Exempelvis kan kreditkortsuppgifter läcka, vilket kan resultera i bedrägerier, vilket är en personuppgiftsincident.
GDPR skiljer på olika personuppgifter och har fyra grupper av integritetskänsliga personuppgifter. Ju känsligare personuppgifter, desto större säkerhet behöver företaget ha vid lagringen och övrig behandling. På hemsidan www.AvtalGDPR.se som är en del av Digitala Juristerna kan du läsa mer information om organisatoriska och tekniska säkerhetsåtgärder som företag kan vidta för att skydda personuppgifter.
Om det är så att det föreligger en risk för att de registrerade som blivit påverkade av personuppgiftsincidenten kan bli drabbade av ett brott, såsom bedrägeri eller id-kapning, kan företaget behöva meddela information om incidenten till de berörda personerna.
Vi skriver och granskar avtal till fasta priser
Gratis juridikskolor
Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.