GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Artikel 5(1)(d) i GDPR

Definitionen av personuppgiftsincidenter

Definitionen av personuppgiftsincidenter framgår i artikel 4 punkten 12 i GDPR. En personuppgiftsincident är en typ av säkerhetsincident som leder till olaglig eller oavsiktlig förstöring, ändring eller förlust av personuppgifter. Alternativt att säkerhetsincidenten leder till obehörig åtkomst eller obehörigt röjande av personuppgifter som lagras, överförs eller på annat sätt blir behandlade. 

Företag ska förebygga personuppgiftsincidenter

Företag ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Med andra ord, ska företag vidta olika åtgärder för att försöka förebygga personuppgiftsincidenter. Här är några tips på hur man kan undvika personuppgiftsincidenter samt minimera riskerna efter att en personuppgiftsincident har inträffat: 

  • Dubbelkolla alltid att mottagaren av ett SMS, brev eller e-postmeddelande är korrekt, innan du skickar meddelandet som innehåller personuppgifter. 
  • Kontrollera regelbundet användares behörigheter till de system som används inom verksamheten och behandlar personuppgifter. Ta bort åtkomsträttigheter för användare när de inte längre behöver åtkomsten. 
  • Använd multifaktorautentisering (MFA) vid inloggning till system som innehåller personuppgifter, när det är möjligt. 
  • Använd olika och komplexa lösenord till program/system, arbetsdatorer, mobiltelefon mm. 
  • Installera virusskydd på enheter som behandlar personuppgifter, såsom arbetsdatorer. 
  • Säkerställ att enheter som innehåller personuppgifter hålls uppdaterade med den senaste versionen av programvaran.
Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Eventuella konsekvenser för registrerade vid personuppgiftsincidenter

Personuppgiftsincidenter leda till allvarliga konsekvenser för registrerade. Exempelvis: 

  • Bedrägeri eller annan ekonomisk skada. 
  • Identitetsstöld. 
  • Skadlig ryktesspridning.

Exempel på personuppgiftsincidenter

Det finns många olika typer av händelser som är att betrakta som personuppgiftsincidenter. Här listar vi några exempel på vanliga personuppgiftsincidenter:

Periodic penalty payments

Dataintrång

Om det sker ett dataintrång där någon obehörig kommer åt personuppgifter. Dataintrång kan ske internt inom en arbetsplats eller externt av utomstående personer.

Felskickade mejl

När en person på ett företag skickar ett mejl som innehåller personuppgifter till fel mottagare, är det en personuppgiftsincident.

Order the company to comply with GDPR within a certain period of time

Virusattack

Om det sker en virusattack som leder till radering av personuppgifter. Därför är det bra att ha backup-filer, för att vid behov kunna återställa data som oavsiktligt förlorats eller förstörts.

Stöld av arbetsdator eller mobiltelefon

Om en arbetsdator eller mobiltelefon innehåller personuppgifter och blir stulen, är det en personuppgiftsincident. Detta beror på att man vid sådana situationer har förlorat kontrollen över personuppgifterna som fanns på den stulna enheten.

Dokumentera personuppgiftsincidenter

Företag måste dokumentera alla inträffade personuppgiftsincidenter. Detta gäller oavsett om företaget behöver informera de registrerade eller/och anmäla händelsen till den nationella dataskyddsmyndigheten. Därför är det viktigt att företaget har interna rutiner, loggböcker och övrig nödvändig dokumentation för att kunna föra skriftlig sammanställning av inträffade personuppgiftsincidenter.  

Informera registrerade och/eller anmäla personuppgiftsincident till nationell dataskyddsmyndighet

När det inträffar en personuppgiftsincident, ska den personuppgiftsansvarige i vissa fall informera de berörda registrerade om det inträffade. Till exempel om kreditkortsuppgifter har läckt, vilket kan leda till väldigt negativa konsekvenser för de registrerade. Genom att informera de registrerade om en inträffad personuppgiftsincident som omfattar deras personuppgifter, kan de vidta åtgärder för att försöka minimera riskerna. Dessutom ska företag som är personuppgiftsansvariga anmäla inträffade personuppgiftsincidenter till den nationella dataskyddsmyndigheten i vissa fall också.

Sanktionsavgift till företag som anmälde en personuppgiftsincident försent

Det finns vissa typer av personuppgiftsincidenter som företag måste anmäla till den nationella dataskyddsmyndigheten. Enligt GDPR ska anmälningspliktiga incidenter rapporteras inom 72 timmar från den tidpunkt den personuppgiftsansvarige fick vetskap om personuppgiftsincidenten.

Däremot kan andra lagar ha en kortare tidsfrist. Exempelvis fick ett företag i Polen betala en sanktionsavgift för att inte ha anmält en personuppgiftsincident inom 24 timmar från och med upptäckten i enlighet med the telecommunications laws. 

Personuppgiftsincidenter

Gränsöverskridande personuppgiftsincidenter

Det är inte ovanligt att företag säljer tjänster eller produkter till andra länder inom EU/EES-området. Dessutom är det många företag som bedriver verksamhet i flera länder i unionen. Därmed är det vanligt att behandla personuppgifter som tillhör personer i olika länder. I vissa fall kan en personuppgiftsincident därför ha anknytning till flera länder, och vid sådana fall är det en gränsöverskridande personuppgiftsincident. Vid sådana fall är det viktigt för företag att veta vilken dataskyddsmyndighet som är ansvarig tillsynsmyndighet. 

Vill du lära dig mer?

Klicka här
Rulla till toppen