Personuppgiftsincidenter
Vad är en personuppgiftsincident?
Med en personuppgiftsincident avses en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.
En personuppgiftsincident kan vara till exempel
- en försvunnen databärare, såsom en USB-sticka
- en stulen dator
- systemintrång
- en smitta av ett skadligt program
- en cyberattack
- en brand i en datacentral
- sändning av kontoutdrag per post till fel person.
En personuppgiftsincident kan leda till exempel till förlust av förmågan att övervaka personuppgifter, identitetsstöld eller bedrägeri, skadat anseende eller avslöjande av personuppgifter som omfattas av pseudonymisering eller sekretessplikten.
Dokumentera alla personuppgiftsincidenter
Såväl den personuppgiftsansvarige som personuppgiftsbiträdet ska skydda personuppgifter på så sätt att skyddsåtgärderna svarar mot den risk som är förknippad med behandlingen av personuppgifter. Därtill ska den personuppgiftsansvarige bereda sig på eventuella personuppgiftsincidenter genom att upprätta förfarandeanvisningar för situationer med personuppgiftsincidenter. Man ska kunna reagera så fort som möjligt på personuppgiftsincidenter.
Den personuppgiftsansvarige ska kunna bedöma nivån på den risk som orsakas av personuppgiftsincidenten för de drabbade personerna, till exempel
- orsakar inte risk
- orsakar risk
- orsakar hög risk.
Risknivån fastställs av de åtgärder som den personuppgiftsansvarige ska vidta. Sådana åtgärder utgörs av till exempel
- dokumentering av personuppgiftsincidenten
- anmälan till tillsynsmyndigheten
- meddelande till de registrerade.
Dokumentera alla personuppgiftsincidenter och deras konsekvenser samt vidtagna korrigerande åtgärder oberoende av de åtgärder som till slut följer av personuppgiftsincidenten. Försummelse av dokumenteringsskyldigheten eller anmälan är inte förenligt med dataskyddsförordningen. Sådant förfarande kan leda till de påföljder som föreskrivs i dataskyddsförordningen.
Skyldigheten att dokumentera personuppgiftsincidenter omfattar även logguppgifterna för den tid då datasystemet blivit föremål för en personuppgiftsincident. Dataombudsmannen kan begära logguppgifterna för handläggningen av anmälan om personuppgiftsincidenten.
Vad ska beaktas i riskbedömningen?
Den personuppgiftsansvarige ska bedöma den risk som personuppgiftsincidenten orsakat för de personer som varit föremål för läckaget. Bedömningen ligger till grund för definieringen av de åtgärder som följer av personuppgiftsincidenten.
Beakta följande omständigheter i bedömningen:
Konsekvenserna kan vara olika till exempel då känsliga uppgifter läckt till Internet och då personuppgifter inte kan behandlas på grund av ett fel i ett datasystem.
Ju känsligare information personuppgiftsincidenten gäller, desto större risk för de personer som drabbas av incidenten. Också en kombination av olika uppgiftstyper som gäller en registrerad är ofta känsligare än en enskild uppgift som gäller en registrerad. När en personuppgiftsincident gäller en stor mängd uppgifter, gäller konsekvenserna också för en stor grupp.
Det är viktigt att bedöma hur enkelt personerna kan identifieras i det material som är föremål för personuppgiftsincidenten, antingen direkt eller indirekt utifrån övriga tillgängliga uppgifter. Identifierbarheten kan påverkas bland annat av hur väl uppgifterna krypterats eller pseudonymiserats.
En personuppgiftsincident kan ha allvarligare konsekvenser då den drabbar barn eller andra personer i sårbarare eller svagare ställning.
Den personuppgiftsansvariges bransch och roll kan påverka den risk som orsakas av personuppgiftsincidenten. Till exempel då en personuppgiftsincident drabbar ett patientdatasystem på ett sjukhus, är hotet för de registrerade sannolikt större än då personuppgiftsincidenten äger rum i ett prenumerantregister hos en dagstidning.
Det kan anses att konsekvenserna av en personuppgiftsincident är synnerligen allvarliga till exempel då den kan leda till identitetsstöld, bedrägeri, ångest, förnedring eller förlorat anseende.
Också den som fått tillgång till uppgifterna, kan påverka de konsekvenser som är att vänta. Sannolikheten för missbruk kan vara större, om det är känt att uppgifterna hamnat hos kriminella.
När du bedömer en risk förknippad med en personuppgiftsincident, ska de beakta allvaret i och sannolikhet för en eventuell konsekvens av personuppgiftsincidenten. Ju allvarligare följd för individen och ju sannolikare att den blir verklighet, desto större är den risk som är förknippad med en personuppgiftsincident.
Anmäl personuppgiftsincidenten till dataombudsmannens byrå
En personuppgiftsincident ska anmälas till tillsynsmyndigheten, om incidenten kan äventyra fysiska personers rättigheter och friheter. I Finland verkar dataombudsmannens byrå som tillsynsmyndighet.
En personuppgiftsincident ska anmälas till dataombudsmannens byrå utan oskäligt dröjsmål och i mån av möjlighet inom 72 timmar från det att den personuppgiftsansvarige blivit medveten om personuppgiftsincidenten. Personuppgiftsbiträdet ska först underrätta den personuppgiftsansvarige om en personuppgiftsincident, förutom om det separat överenskommits att biträdet kan anmäla en personuppgiftsincident direkt till dataombudsmannens byrå. Ansvaret för att göra anmälan lämnar dock kvar hos den personuppgiftsansvarige.
En personuppgiftsincident kan anmälas med en elektronisk blankett.
Beakta bland annat följande i din anmälan
Den personuppgiftsansvariga ska i sin anmälan noga bedöma allvarlighetsgraden av personuppgiftsincidentens eventuella konsekvenser för den registrerade. Syftet är att uttryckligen bedöma allvarlighetsgraden av personuppgiftsincidentens konsekvenser för den registrerade, inte konsekvenserna för den personuppgiftsansvariga.
Om den personuppgiftsansvariga anmäler på dataombudsmannens byrås blankett att hen bedömt att allvarlighetsgraden av eventuella konsekvenser för den registrerade är Betydande eller Väldigt betydande innebär detta i regel att den personuppgiftsansvariga ska utan oskäligt dröjsmål informera den registrerade om det inträffade och ange på blanketten under punkten Kontakt till de registrerade Ja eller Nej, men de kommer att underrättas.
Bedömning av allvarlighetsgraden av eventuella konsekvenser av en personuppgiftsincident är en av den personuppgiftsansvarigas skyldigheter. Om den personuppgiftsansvariga har bedömt allvarlighetsgraden av personuppgiftsincidentens konsekvenser för den registrerade felaktigt, beslutar tillsynsmyndigheten i sista hand på basis av de uppgifter som den personuppgiftsansvariga lämnat in huruvida tröskeln för att informera den registrerade uppfylls.
Dataombudsmannens byrå kan ålägga den personuppgiftsansvariga att informera den registrerade om tröskeln för anmälan uppfylls och den personuppgiftsansvariga inte på eget initiativ har informerat de registrerade som drabbats av personuppgiftsincidenten.
Dataombudsmannens byrås blankett för anmälan av personuppgiftsincidenter består av tre olika typer av anmälan: hela anmälan, preliminär anmälan och komplettering av tidigare anmälan.
Hela anmälan används när den personuppgiftsansvariga vet vad som har hänt vid personuppgiftsincidenten. När man fyller i anmälan kan en del av frågorna fortfarande var diffusa, men det är ändå klart för den personuppgiftsansvariga på basis av det som kommit fram att det är fråga om en personuppgiftsincident som uppfyller tröskeln för anmälan till tillsynsmyndigheten.
Syftet med preliminär anmälan är att den personuppgiftsansvariga kan meddela att en eventuell personuppgiftsincident har upptäckts, men det finns inte så mycket information om det inträffade ännu eller informationen är oklar. Om den personuppgiftsansvariga lämnar in en preliminär anmälan ska hen på eget initiativ komplettera den när hen har fått mer information om det inträffade.
Med en kompletterande anmälan som den personuppgiftsansvariga lämnat in på eget initiativ blir ärendets behandling hos tillsynsmyndigheten smidigare och snabbare och minskar tillsynsmyndighetens kontakter med den personuppgiftsansvariga.
Om den personuppgiftsansvariga anger i sin anmälan om personuppgiftsincidenten att vissa frågor om det inträffade ännu kommer att utredas, ska den personuppgiftsansvariga komma ihåg att på eget initiativ lämna in en kompletterande anmälan när mer information om det inträffade har erhållits.
Anmälan om personuppgiftsincident bör lämnas utan oskäligt dröjsmål även om man inte ännu känner till all information om det inträffade. Det är nödvändigt för tillsynsmyndigheten att få veta om en personuppgiftsincident inom den utsatta tiden.
Om den personuppgiftsansvariga upptäcker en personuppgiftsincident som ska anmälas till tillsynsmyndigheten, ska den personuppgiftsansvariga anmäla incidenten utan oskäligt dröjsmål, i den mån det är möjligt inom 72 timmar. Om anmälan inte lämnas inom 72 timmar ska den personuppgiftsansvariga lämna in en motiverad förklaring för förseningen till dataombudsmannens byrå.
Exempel på personuppgiftsincidenter och vem som skall underrättas (pdf)
När underrättas de registrerade om en personuppgiftsincident?
En personuppgiftsincident ska anmälas till en registrerad, om den sannolikt orsakar en hög risk för hans eller hennes rättigheter och friheter. Den personuppgiftsansvarige ska i så fall ge information om ärendet utan oskäligt dröjsmål, så att den registrerade har möjlighet att skydda sig till exempel genom att stänga sitt kreditkort.
Följande uppgifter ska inkluderas i anmälan:
- beskrivning av personuppgiftsincidenten
- den dataskyddsansvariges namn och kontaktuppgifter eller en annan kontaktpunkt, varifrån närmare uppgifter fås
- sannolika konsekvenser av personuppgiftsincidenten
- åtgärder som den personuppgiftsansvarige föreslagit eller redan vidtagit; vid behov också åtgärder för att lindra eventuella olägenheter.
En anmälan krävs inte om
- den personuppgiftsansvarige vidtagit behöriga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som är föremål för personuppgiftsincidenten (i synnerhet åtgärder med vilka personuppgifterna ändras till obegriplig form för utomstående, såsom kryptering)
- den personuppgiftsansvarige har vidtagit fortsatta åtgärder, med vilka det säkerställs att det inte längre är sannolikt att en hög risk som riktar sig mot den registrerades rättigheter och friheter blir verklighet
- detta skulle kräva orimligt besvär, eftersom man till exempel inte vet vem de registrerade är. Ärendet bedöms enligt risk. Om det inte är möjligt att ta kontakt med de registrerade personligen, ska offentlig delgivning eller en motsvarande åtgärd användas, med vilken de registrerade informeras på ett lika effektivt sätt.
Om den personuppgiftsansvarige inte ännu gett en registrerad information om personuppgiftsincidenten, kan tillsynsmyndigheten kräva att detta görs.
Åtgärder som den personuppgiftsansvariga vidtagit efter det att en personuppgiftsincident upptäckts kan avlägsna den höga risk som personuppgiftsincidenten orsakat för den registrerade åtminstone för tiden efter åtgärderna. Vid bedömningen av allvarlighetsgraden av eventuella konsekvenser ska den personuppgiftsansvariga ta hänsyn till huruvida personuppgiftsincidenten ändå innan man vidtagit åtgärder har orsakat en sådan högrisksituation som man inte har kunnat avhjälpa med de åtgärder som vidtagits efter det att personuppgiftsincidenten upptäckts.
Även om man skulle anse att den höga risken har avlägsnats med de åtgärder som vidtagits efter det att personuppgiftsincidenten upptäckts, kan det inträffade ändå ha inneburit en hög risk för den registrerade innan åtgärderna vidtagits. I dessa fall ska man i regel informera den registrerade om den personuppgiftsincident som inträffat.
Läs mer:
- Anmälan om personuppgiftsincident
- Dataskyddsförordningen: artiklarna 32‒34, introduktionsdelens punkter 83, 85–88 (i EUR-Lex)
- Riktlinjer om anmälan av personuppgiftsincidenter enligt förordning (EU) 2016/679 (pdf)
- Exempel på personuppgiftsincidenter och vem som skall underrättas (pdf)
- Myndigheten för digitalisering och befolkningsdata: guide för organisationer som utsatts för dataintrång eller dataläckage i Suomi.fi-webbtjänsten
- Cybersäkerhetscentrets guide: Så här samlar du in och använder loggdata (kyberturvallisuuskeskus.fi)