Personuppgiftsincident
Om personuppgifter kommer i orätta händer, försvinner eller oavsiktligt förändras har en personuppgiftsincident inträffat. En sådan ska i normalfallet anmälas till Integritetsskyddsmyndigheten inom 72 timmar.
Anmäl personuppgiftsincident
Du ska anmäla en personuppgiftsincident till Integritetsskyddsmyndigheten inom 72 timmar.
Till anmälan hos IntegritetsskyddsmyndighetenVad är en personuppgiftsincident?
Syftet med Dataskyddsförordningen (även kallad GDPR) är att skydda enskilda personers friheter och rättigheter. En personuppgiftsincident är en händelse där den ansvariga förlorar kontrollen över personuppgifterna.
Exempel på situationer som skulle kunna ligga bakom en personuppgiftsincident är:
- dokument eller filer försvinner
- systemfel
- stöld av datorer, telefoner och andra enheter
- vi lånar ut eller delar användarnamn och lösenord
- skadlig programvara, inklusive virus
- människor gör fel eller misstag
Den som är ansvarig för personuppgiften måste se till att en personuppgiftsincident anmäls till tillsynsmyndigheten Integritetsskyddsmyndigheten. Det ska ske inom 72 timmar efter att händelsen upptäckts.
Anmälan till Integritetsskyddsmyndigheten behöver inte göras om det är osannolikt att det som har hänt medför risk för att människors rättigheter eller friheter kränks. Även om ni inte rapporterar incidenten till tillsynsmyndigheten ska den dokumenteras internt på kommunen.
Riskbedömningen ska grunda sig på om incidenten kan leda till fysisk, materiell och immateriell skada, exempelvis:
- förlust av kontrollen över personuppgifterna
- inskränkning av rättigheter
- diskriminering, identitetsstöld eller bedrägeri
- ekonomisk förlust
- skadlig ryktesspridning
- brott mot sekretess eller tystnadsplikt
Om du tror att en personuppgiftsincident har skett ska du kontakta din närmsta chef. Chefen ansvarar för att anmäla incidenten till Integritetsskyddsmyndigheten. Som stöd och hjälp inför en eventuell anmälan finns blanketten Intern incidentrapport.
Anmäl personuppgiftsincident hos Integritetsskyddsmyndigheten.
Anmälan ska göras inom 72 timmar från att personuppgiftsincidenten upptäcktes.
Kontakta alltid kommunens dataskyddsombud för att rådgöra vid osäkerhet. En kopia av den interna rapporten alternativt rapporten till Integritetsskyddsmyndigheten ska alltid lämnas till dataskyddsombudet.
Anmälan till Integritetsskyddsmyndigheten behöver inte göras om det är osannolikt att det som har hänt medför risk för att människors rättigheter eller friheter enligt Dataskyddsförordningen kränks.
Även om ni inte rapporterar incidenten till tillsynsmyndigheten ska den dokumenteras internt på kommunen.
Om incidenten bedöms medföra hög risk för att kränka de registrerade ska de informeras om vad som hänt så snart som möjligt. Informationen till de drabbade ska innehålla en beskrivning av vad som har hänt och rekommendationer om hur de negativa effekterna kan mildras.
Kontakta alltid kommunens dataskyddsombud för att rådgöra vid osäkerhet. En kopia av rapporten ska alltid lämnas till dataskyddsombudet.
Att inte anmäla en personuppgiftsincident kan räknas som en överträdelse av dataskyddsförordningen. Det kan leda till en administrativ sanktionsavgift.
Kontaktuppgifter till Motala kommuns dataskyddsombud:
Mats Herling, Insatt AB
E-post: dataskyddsombud@motala.se