Vad är en personuppgiftsincident och vad ska vi göra om en sådan inträffar?

Svar

En personuppgiftsincident inträffar när de uppgifter som ert företag/er organisation ansvarar för drabbas av en säkerhetsincident som leder till ett brott mot konfidentialiteten, tillgängligheten eller integriteten. Om detta händer, och det är sannolikt att incidenten utgör en risk för en enskild persons rättigheter och friheter, måste ert företag/er organisation anmäla incidenten till tillsynsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar efter att ha fått kännedom om den. Om ert företag/er organisation är ett personuppgiftsbiträde måste varje personuppgiftsincident anmälas till den personuppgiftsansvarige.

Om personuppgiftsincidenten medför en hög risk för de berörda enskilda personerna, bör även dessa personerinformeras, såvida det inte finns ändamålsenliga tekniska och organisatoriska skyddsåtgärder inrättade, eller andra åtgärder som säkerställer att det inte längre är troligt att risken förverkligas.

Som organisation är det mycket viktigt att införa lämpliga tekniska och organisatoriska åtgärder för att undvika möjliga personuppgiftsincidenter.

Exempel

Organisationen måste göra en anmälan till dataskyddsmyndigheten och enskilda personer
Uppgifterna om ett textilföretags anställda har läckt ut. Uppgifterna innefattade personliga adresser, familjesammansättning, månadslön och sjukersättningsanspråk för varje anställd. I detta fall måste textilföretaget upplysa tillsynsmyndigheten om incidenten. Eftersom känsliga uppgifter, såsom hälsouppgifter, ingår i personuppgifterna måste företaget även informera de anställda.

En sjukhusanställd bestämmer sig för att kopiera patienters uppgifter till en CD-skiva och publicerar dem online. Sjukhuset får reda på detta några dagar senare. Så snart sjukhuset får kännedom om saken har man 72 timmar på sig att anmäla det hela till tillsynsmyndigheten, och eftersom personuppgifterna innehåller känslig information som t.ex. om en patient har cancer, är gravid etc. måste man informera patienterna också. I detta fall bör man fråga sig hurivida sjukhuset har infört lämpliga tekniska och organisatoriska skyddsåtgärder. Om lämpliga skyddsåtgärder vidtagits (t.ex. kryptering avuppgifter) är det osannolikt att en reell risk uppstår och sjukhuset är då undantaget från kravet att meddela patienterna.

Företaget måste meddela kunderna och kan sedan ha en skyldighet att anmäla incidenten till dataskyddsmyndigheten och enskilda personer
En molntjänst förlorar ett antal hårddiskar innehållande personuppgifter som tillhör flera av deras kunder. Man måste meddela dessa kunder så fort man blir medveten om incidenten. Kunderna måste meddela dataskyddsmyndigheten och enskilda personer, beroende på vilka uppgifter som behandlades av personuppgiftsbiträdet.

Referenser

• Europeiska dataskyddsstyrelsens riktlinjer för anmälan av personuppgiftsincidenter enligt förordning 2016/679
• Artikel 4.12, 33, 34; skäl 85, 86, 87, 88

Examples

Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.

A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures.  If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.

Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.