Hoppa till innehåll

Dataombudsmannens byrå påminner: Organisationer ska bedöma allvarlighetsgraden av en personuppgiftsincident för de registrerade

Utgivningsdatum 8.11.2023 14.18 | Publicerad på svenska 7.12.2023 kl. 17.28
Nyhet

Dataombudsmannens byrå har kompletterat anvisningar om anmälan om personuppgiftsincident på sin webbplats. Anvisningarna till organisationer handlar om bedömning av allvarlighetsgraden av konsekvenserna för den registrerade, anmälan till de registrerade, komplettering av anmälan och iakttagande av tidsfristerna.

En personuppgiftsansvarig ska anmäla en personuppgiftsincident till dataombudsmannens byrå, om incidenten kan äventyra fysiska personers rättigheter och friheter.

Organisationer kan lämna anmälan om personuppgiftsincident med dataombudsmannens byrås webblankett i Turvalomake-tjänsten vid Statens center för informations- och kommunikationsteknik Valtori. Om organisationen använder sin egen blankettmall för sin anmälan ska man försäkra sig om att anmälan innehåller de uppgifter som förutsätts enligt dataskyddsförordningen.

Dataombudsmannens byrås kompletterande anvisningar om frågor som ska beaktas i anmälan om personuppgiftsincident

1. Bedöm allvarlighetsgraden av personuppgiftsincidentens konsekvenser för den registrerade

Den personuppgiftsansvariga ska noga bedöma allvarlighetsgraden av personuppgiftsincidentens eventuella konsekvenser för de registrerade som drabbats av incidenten. Syftet är att uttryckligen bedöma allvarlighetsgraden av personuppgiftsincidentens konsekvenser för de registrerade, inte konsekvenserna för den personuppgiftsansvariga. De registrerade ska informeras om en högrisksituation utan oskäligt dröjsmål. Dataombudsmannens byrå kan vd behov ålägga en organisation att informera de som drabbats av personuppgiftsincidenten om det inträffade.

2. Informera alltid den registrerade om det uppstår en hög risk även om den höga risken skulle avhjälpas med åtgärder som vidtagits efter det att personuppgiftsincidenten upptäckts

Åtgärder som den personuppgiftsansvariga vidtagit efter det att en personuppgiftsincident upptäckts kan avlägsna den höga risk som personuppgiftsincidenten orsakat för den registrerade åtminstone för tiden efter åtgärderna. Även om den höga risken har avlägsnats kan det inträffade ändå ha inneburit en hög risk för den registrerade innan åtgärderna vidtagits. I dessa fall ska man i regel informera den registrerade om personuppgiftsincidenten.

3. Lämna in en preliminär anmälan till dataombudsmannens byrå vid behov och komplettera den på eget initiativ

Den registeransvariga kan lämna in en preliminär anmälan till dataombudsmannens byrå om det inte finns så mycket information om det inträffade ännu. Anmälan ska senare kompletteras på eget initiativ.

4. Lämna en anmälan om personuppgiftsincident inom 72 timmar samt vid behov en motiverad förklaring för försening

Anmälan om personuppgiftsincident bör lämnas utan oskäligt dröjsmål även om man inte ännu känner till all information om det inträffade. Om anmälan inte lämnas inom 72 timmar ska den personuppgiftsansvariga lämna in en motiverad förklaring för förseningen till dataombudsmannens byrå.

Läs hela anvisningen om anmälan om personuppgiftsincidenter på dataombudsmannens byrås webbplats

När man skickat blanketten kan man spara den för sig själv som en PDF-fil

Dataombudsmannens byrås blanketter har utvecklats på basis av respons från kunderna. Nuförtiden kan organisationer spara blanketter som skickats som PDF-filer i Turvalomake-tjänsten. Detta underlättar dokumenteringen av personuppgiftsincidenter och fullgörandet av ansvarsskyldigheten.

Av ärenden som anhängiggörs vid dataombudsmannens byrå är omkring hälften anmälningar om personuppgiftsincidenter. Under 2022 tog dataombudsmannens byrå emot 5 445 anmälningar om personuppgiftsincidenter.

Mer information:

Dataombudsmannens byrås allmänna rådgivning för personuppgiftsansvariga, öppen tisdag-torsdag kl. 9.00–11.00, tfn  029 566 6778

Registratorskontoret vid dataombudsmannens byrå: tietosuoja(at)om.fi

Anvisningar om anmälning om personuppgiftsincidenter på dataombudsmannens byrås webbplats

Nyhet från dataombudsmannen byrå: Dataombudsmannens byrås blanketter fungerar framöver i Valtoris tjänst Turvalomake (2.11.2023)

 

Tillbaka till toppen