Personuppgiftsincidenter

Vad är en personuppgiftsincident?

Med en personuppgiftsincident avses en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.

En personuppgiftsincident kan vara till exempel

  • en försvunnen databärare, såsom en USB-sticka
  • en stulen dator
  • systemintrång
  • en smitta av ett skadligt program
  • en cyberattack
  • en brand i en datacentral
  • sändning av kontoutdrag per post till fel person.

En personuppgiftsincident kan leda till exempel till förlust av förmågan att övervaka personuppgifter, identitetsstöld eller bedrägeri, skadat anseende eller avslöjande av personuppgifter som omfattas av pseudonymisering eller sekretessplikten.

Dokumentera alla personuppgiftsincidenter

Såväl den personuppgiftsansvarige som personuppgiftsbiträdet ska skydda personuppgifter på så sätt att skyddsåtgärderna svarar mot den risk som är förknippad med behandlingen av personuppgifter. Därtill ska den personuppgiftsansvarige bereda sig på eventuella personuppgiftsincidenter genom att upprätta förfarandeanvisningar för situationer med personuppgiftsincidenter. Man ska kunna reagera så fort som möjligt på personuppgiftsincidenter.

Den personuppgiftsansvarige ska kunna bedöma nivån på den risk som orsakas av personuppgiftsincidenten för de drabbade personerna, till exempel

  • orsakar inte risk
  • orsakar risk
  • orsakar hög risk.

Risknivån fastställs av de åtgärder som den personuppgiftsansvarige ska vidta. Sådana åtgärder utgörs av till exempel

  • dokumentering av personuppgiftsincidenten
  • anmälan till tillsynsmyndigheten
  • meddelande till de registrerade.

Dokumentera alla personuppgiftsincidenter och deras konsekvenser samt vidtagna korrigerande åtgärder oberoende av de åtgärder som till slut följer av personuppgiftsincidenten. Försummelse av dokumenteringsskyldigheten eller anmälan är inte förenligt med dataskyddsförordningen. Sådant förfarande kan leda till de påföljder som föreskrivs i dataskyddsförordningen.

Exempel på personuppgiftsincidenter och vem som skall underrättas

Anmälan till tillsynsmyndigheten inom 72 timmar

En personuppgiftsincident ska anmälas till tillsynsmyndigheten, om incidenten kan äventyra fysiska personers rättigheter och friheter. I Finland verkar dataombudsmannens byrå som tillsynsmyndighet.

En personuppgiftsincident ska anmälas till dataombudsmannens byrå utan oskäligt dröjsmål och i mån av möjlighet inom 72 timmar från det att den personuppgiftsansvarige blivit medveten om personuppgiftsincidenten. Personuppgiftsbiträdet ska först underrätta den personuppgiftsansvarige om en personuppgiftsincident, förutom om det separat överenskommits att biträdet kan anmäla en personuppgiftsincident direkt till dataombudsmannens byrå. Ansvaret för att göra anmälan lämnar dock kvar hos den personuppgiftsansvarige.

Om anmälan inte görs inom 72 timmar, ska den personuppgiftsansvarige lämna in en motiverad förklaring till dataombudsmannens byrå.

När underrättas de registrerade om en personuppgiftsincident?

En personuppgiftsincident ska anmälas till en registrerad, om den sannolikt orsakar en hög risk för hans eller hennes rättigheter och friheter. Den personuppgiftsansvarige ska i så fall ge information om ärendet utan oskäligt dröjsmål, så att den registrerade har möjlighet att skydda sig till exempel genom att stänga sitt kreditkort.

Följande uppgifter ska inkluderas i anmälan:

  • beskrivning av personuppgiftsincidenten
  • den dataskyddsansvariges namn och kontaktuppgifter eller en annan kontaktpunkt, varifrån närmare uppgifter fås
  • sannolika konsekvenser av personuppgiftsincidenten
  • åtgärder som den personuppgiftsansvarige föreslagit eller redan vidtagit; vid behov också åtgärder för att lindra eventuella olägenheter.

En anmälan krävs inte om

  • den personuppgiftsansvarige vidtagit behöriga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som är föremål för personuppgiftsincidenten (i synnerhet åtgärder med vilka personuppgifterna ändras till obegriplig form för utomstående, såsom kryptering)
  • den personuppgiftsansvarige har vidtagit fortsatta åtgärder, med vilka det säkerställs att det inte längre är sannolikt att en hög risk som riktar sig mot den registrerades rättigheter och friheter blir verklighet
  • detta skulle kräva orimligt besvär, eftersom man till exempel inte vet vem de registrerade är. Ärendet bedöms enligt risk. Om det inte är möjligt att ta kontakt med de registrerade personligen, ska offentlig delgivning eller en motsvarande åtgärd användas, med vilken de registrerade informeras på ett lika effektivt sätt.

Om den personuppgiftsansvarige inte ännu gett en registrerad information om personuppgiftsincidenten, kan tillsynsmyndigheten kräva att detta görs.

Vad ska beaktas i riskbedömningen?

Den personuppgiftsansvarige ska bedöma den risk som personuppgiftsincidenten orsakat för de personer som varit föremål för läckaget. Bedömningen ligger till grund för definieringen av de åtgärder som följer av personuppgiftsincidenten.

Beakta följande omständigheter i bedömningen: