Anmäla personuppgiftsincidenter – hur fungerar det?
Den nya dataskyddsförordningen har fört med sig ett flertal nyheter. En av dessa nyheter är att den personuppgiftsansvarige har vissa skyldigheter vid en så kallad personuppgiftsincident. I denna artikel ska vi främst förklara vad som kan vara en personuppgiftsincident och hur en personuppgiftsansvarig ska gå tillväga när denne måste anmäla incidenten till Datainspektionen.
En personuppgiftsansvarig ansvarar för att behandlingen av personuppgifter i organisationen sköts på rätt sätt. Ett av ansvarsområdena för den personuppgiftsansvarige gäller anmälan av en personuppgiftsincident till tillsynsmyndigheten (Datainspektionen i Sveriges fall). I och med att GDPR har trätt i kraft måste den personuppgiftsansvarige se till att det finns rutiner för att kunna upptäcka, rapportera och sedan utreda personuppgiftsincidenter.
Till att börja med är det bra att veta vad som egentligen är en personuppgiftsincident. En personuppgiftsincident kan förklaras som en säkerhetsincident som på något sätt påverkat integriteten, sekretessen eller tillgängligheten till personuppgifter. Enligt GDPR har en personuppgiftsincident inträffat om personuppgifter på ett oavsiktligt eller olagligt sätt har förstörts, har förlorats eller ändrats eller slutligen röjts till någon obehörig. Tänk på att det rör sig om en personuppgiftsincident oavsett om den skett med avsikt eller inte.
Kanske känns det svårt att bedöma vad som är en personuppgiftsincident bara utifrån GDPR:s ordalydelse. Här kommer ett par exempel på situationer som kan göra det hela lite tydligare:
- När en arbetsdator eller en mobiltelefon som innehåller personuppgifter har stulits eller förlorats.
- När någon utan tillstånd har ändrat personuppgifter.
- När någon på kontoret råkat skicka personuppgifter till en mottagare som egentligen inte skulle få ta del av dem. Då har alltså en obehörig part fått tillgång till uppgifterna.
- När företagets databaser drabbas av virus.
Det kan vara ännu svårare att veta när en personuppgiftsansvarig måste anmäla en incident till Datainspektionen. Ett första tips är därför att den personuppgiftsansvarige vid en personuppgiftsincident så snabbt som möjligt ska bedöma vilka negativa konsekvenser som kan drabba de registrerade. Den personuppgiftsansvarige ska undersöka incidentens allvarlighet och väsentlighet. Dessutom ska den personuppgiftsansvarige bedöma hur troligt det är att effekterna kommer att inträffa. Gällande konsekvenser tas dessa upp i skäl 85 i GDPR. Det ska vara tal om fysisk, materiell eller immateriell skada. Som exempel kan identitetsstöld, ekonomisk förlust och diskriminering nämnas.
Så till själva anmälan av personuppgiftsincidenter. När den personuppgiftsansvarige fastställt att en personuppgiftsincident kan innebära en risk för fysiska personers rättigheter och friheter måste den personuppgiftsansvarige meddela Datainspektionen. Om det är osannolikt att incidenten medför risker behöver Datainspektionen inte meddelas. Som exempel kan nämnas att uppgifterna redan finns tillgängliga eller företaget har krypterat sina databaser på ett mycket bra sätt. Det är alltså den personuppgiftsansvarige som själv måste analysera alla relevanta faktorer. Tänk som sagt på att så länge det finns en risk för personernas rättigheter ska alltså Datainspektionen meddelas.
Hur lång tid har en personuppgiftsansvarig på sig att anmäla en incident då? Jo, inom 72 timmar efter det att överträdelsen har upptäckts ska personuppgiftsincidenten anmälas. Datainspektionen får i och med anmälan en möjlighet att se vad den personuppgiftsansvarige gör för att motverka negativa konsekvenser. Om det behövs kan Datainspektionen utöva sina tillsynsbefogenheter för att se till att den personuppgiftsansvarige vidtar nödvändiga åtgärder.
Det ska nämnas att en anmälan ska skickas till Datainspektionen via brev. Senare under året kommer en e-tjänst med autentiseringslösning. Om den personuppgiftsansvarige inte har all information inom 72 timmar är det möjligt att i efterhand komma in med ändringar eller kompletteringar. Kom också ihåg att man som personuppgiftsansvarig kan bli skyldig att betala sanktionsavgifter om man inte rapporterar en personuppgiftsincident.
Några få punkter till ska kortfattat tas upp här. För det första är det viktigt att komma ihåg att om en personuppgiftsincident är allvarlig så ska även de registrerade informeras om denna. Det är alltså vid tillfällen då det är sannolikt att incidenten leder till en hög risk för fysiska personers rättigheter och friheter. Exempel på detta är bedrägerier och id-stölder.
Personuppgiftsbiträden ska också nämnas. Även om den personuppgiftsansvarige har det huvudsakliga ansvaret ska personuppgiftsbiträdet rapportera till den ansvarige om biträdet upptäcker en personuppgiftsincident. Detta ska göras så snart som möjligt och bäst är att det finns en avtalad tidsgräns. Som sagt ska personuppgiftsbiträdet inte anmäla till Datainspektionen utan till den personuppgiftsansvarige.
Slutligen ska sägas att det ovan sagda gäller för personuppgiftsincidenter inom landet. För gränsöverskridande incidenter finns det ytterligare frågor att svara på. Tre tips till en personuppgiftsansvarig gällande personuppgiftsincidenter är att arbeta med tydliga rutiner, upprätta en handlingsplan och att dokumentera alla incidenter. Även sådana personuppgiftsincidenter som inte måste anmälas till Datainspektionen.
Publicerad 8 jun 2018
