Personuppgiftsincidenter
Vad är en personuppgiftsincident?
Med en personuppgiftsincident avses en händelse som leder till att personuppgifter förstörs, försvinner, ändras, olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.
En personuppgiftsincident kan vara till exempel
- en försvunnen databärare, såsom en USB-sticka
- en stulen dator
- systemintrång
- en smitta av ett skadligt program
- en cyberattack
- en brand i en datacentral
- sändning av kontoutdrag per post till fel person.
En personuppgiftsincident kan leda till exempel till förlust av förmågan att övervaka personuppgifter, identitetsstöld eller bedrägeri, skadat anseende eller avslöjande av personuppgifter som omfattas av pseudonymisering eller sekretessplikten.
Dokumentera alla personuppgiftsincidenter
Såväl den personuppgiftsansvarige som personuppgiftsbiträdet ska skydda personuppgifter på så sätt att skyddsåtgärderna svarar mot den risk som är förknippad med behandlingen av personuppgifter. Därtill ska den personuppgiftsansvarige bereda sig på eventuella personuppgiftsincidenter genom att upprätta förfarandeanvisningar för situationer med personuppgiftsincidenter. Man ska kunna reagera så fort som möjligt på personuppgiftsincidenter.
Den personuppgiftsansvarige ska kunna bedöma nivån på den risk som orsakas av personuppgiftsincidenten för de drabbade personerna, till exempel
- orsakar inte risk
- orsakar risk
- orsakar hög risk.
Risknivån fastställs av de åtgärder som den personuppgiftsansvarige ska vidta. Sådana åtgärder utgörs av till exempel
- dokumentering av personuppgiftsincidenten
- anmälan till tillsynsmyndigheten
- meddelande till de registrerade.
Dokumentera alla personuppgiftsincidenter och deras konsekvenser samt vidtagna korrigerande åtgärder oberoende av de åtgärder som till slut följer av personuppgiftsincidenten. Försummelse av dokumenteringsskyldigheten eller anmälan är inte förenligt med dataskyddsförordningen. Sådant förfarande kan leda till de påföljder som föreskrivs i dataskyddsförordningen.
Skyldigheten att dokumentera personuppgiftsincidenter omfattar även logguppgifterna för den tid då datasystemet blivit föremål för en personuppgiftsincident. Dataombudsmannen kan begära logguppgifterna för handläggningen av anmälan om personuppgiftsincidenten.
Exempel på personuppgiftsincidenter och vem som skall underrättas (pdf)
Anmälan till tillsynsmyndigheten inom 72 timmar
En personuppgiftsincident ska anmälas till tillsynsmyndigheten, om incidenten kan äventyra fysiska personers rättigheter och friheter. I Finland verkar dataombudsmannens byrå som tillsynsmyndighet.
En personuppgiftsincident ska anmälas till dataombudsmannens byrå utan oskäligt dröjsmål och i mån av möjlighet inom 72 timmar från det att den personuppgiftsansvarige blivit medveten om personuppgiftsincidenten. Personuppgiftsbiträdet ska först underrätta den personuppgiftsansvarige om en personuppgiftsincident, förutom om det separat överenskommits att biträdet kan anmäla en personuppgiftsincident direkt till dataombudsmannens byrå. Ansvaret för att göra anmälan lämnar dock kvar hos den personuppgiftsansvarige.
En personuppgiftsincident kan anmälas med en elektronisk blankett. Om anmälan inte görs inom 72 timmar, ska den personuppgiftsansvarige lämna in en motiverad förklaring till dataombudsmannens byrå.
När underrättas de registrerade om en personuppgiftsincident?
En personuppgiftsincident ska anmälas till en registrerad, om den sannolikt orsakar en hög risk för hans eller hennes rättigheter och friheter. Den personuppgiftsansvarige ska i så fall ge information om ärendet utan oskäligt dröjsmål, så att den registrerade har möjlighet att skydda sig till exempel genom att stänga sitt kreditkort.
Följande uppgifter ska inkluderas i anmälan:
- beskrivning av personuppgiftsincidenten
- den dataskyddsansvariges namn och kontaktuppgifter eller en annan kontaktpunkt, varifrån närmare uppgifter fås
- sannolika konsekvenser av personuppgiftsincidenten
- åtgärder som den personuppgiftsansvarige föreslagit eller redan vidtagit; vid behov också åtgärder för att lindra eventuella olägenheter.
En anmälan krävs inte om
- den personuppgiftsansvarige vidtagit behöriga tekniska och organisatoriska skyddsåtgärder och dessa tillämpats på de personuppgifter som är föremål för personuppgiftsincidenten (i synnerhet åtgärder med vilka personuppgifterna ändras till obegriplig form för utomstående, såsom kryptering)
- den personuppgiftsansvarige har vidtagit fortsatta åtgärder, med vilka det säkerställs att det inte längre är sannolikt att en hög risk som riktar sig mot den registrerades rättigheter och friheter blir verklighet
- detta skulle kräva orimligt besvär, eftersom man till exempel inte vet vem de registrerade är. Ärendet bedöms enligt risk. Om det inte är möjligt att ta kontakt med de registrerade personligen, ska offentlig delgivning eller en motsvarande åtgärd användas, med vilken de registrerade informeras på ett lika effektivt sätt.
Om den personuppgiftsansvarige inte ännu gett en registrerad information om personuppgiftsincidenten, kan tillsynsmyndigheten kräva att detta görs.
Vad ska beaktas i riskbedömningen?
Den personuppgiftsansvarige ska bedöma den risk som personuppgiftsincidenten orsakat för de personer som varit föremål för läckaget. Bedömningen ligger till grund för definieringen av de åtgärder som följer av personuppgiftsincidenten.
Beakta följande omständigheter i bedömningen:
Konsekvenserna kan vara olika till exempel då känsliga uppgifter läckt till Internet och då personuppgifter inte kan behandlas på grund av ett fel i ett datasystem.
Ju känsligare information personuppgiftsincidenten gäller, desto större risk för de personer som drabbas av incidenten. Också en kombination av olika uppgiftstyper som gäller en registrerad är ofta känsligare än en enskild uppgift som gäller en registrerad. När en personuppgiftsincident gäller en stor mängd uppgifter, gäller konsekvenserna också för en stor grupp.
Det är viktigt att bedöma hur enkelt personerna kan identifieras i det material som är föremål för personuppgiftsincidenten, antingen direkt eller indirekt utifrån övriga tillgängliga uppgifter. Identifierbarheten kan påverkas bland annat av hur väl uppgifterna krypterats eller pseudonymiserats.
En personuppgiftsincident kan ha allvarligare konsekvenser då den drabbar barn eller andra personer i sårbarare eller svagare ställning.
Den personuppgiftsansvariges bransch och roll kan påverka den risk som orsakas av personuppgiftsincidenten. Till exempel då en personuppgiftsincident drabbar ett patientdatasystem på ett sjukhus, är hotet för de registrerade sannolikt större än då personuppgiftsincidenten äger rum i ett prenumerantregister hos en dagstidning.
Det kan anses att konsekvenserna av en personuppgiftsincident är synnerligen allvarliga till exempel då den kan leda till identitetsstöld, bedrägeri, ångest, förnedring eller förlorat anseende.
Också den som fått tillgång till uppgifterna, kan påverka de konsekvenser som är att vänta. Sannolikheten för missbruk kan vara större, om det är känt att uppgifterna hamnat hos kriminella.
När du bedömer en risk förknippad med en personuppgiftsincident, ska de beakta allvaret i och sannolikhet för en eventuell konsekvens av personuppgiftsincidenten. Ju allvarligare följd för individen och ju sannolikare att den blir verklighet, desto större är den risk som är förknippad med en personuppgiftsincident.
Läs mer:
- Anmälan om personuppgiftsincident
- Dataskyddsförordningen: artiklarna 32‒34, introduktionsdelens punkter 83, 85–88 (i EUR-Lex)
- Riktlinjer om anmälan av personuppgiftsincidenter enligt förordning (EU) 2016/679 (pdf)
- Exempel på personuppgiftsincidenter och vem som skall underrättas (pdf)
- Myndigheten för digitalisering och befolkningsdata: guide för organisationer som utsatts för dataintrång eller dataläckage i Suomi.fi-webbtjänsten
- Cybersäkerhetscentrets guide: Så här samlar du in och använder loggdata (kyberturvallisuuskeskus.fi)