Personuppgiftsincidenter

Personuppgiftsincidenter är överträdelser av dataskyddslagen. Dessa brott måste rapporteras snarast möjligt till Datainspektionen. Det är den personuppgiftsansvarige som är skyldig att hantera personuppgifterna som en organisation förfogar över. Den personuppgiftsansvarige är också skyldig att rapportera in eventuella fel som organisationen gör. Mer om personuppgiftsincidenter och den personuppgiftsansvariges ansvarsområde följer längre ned i den här artikeln.

Brott mot dataskyddslagen

En incident är inte i sig ett brott mot dataskyddslagen. Däremot är en personuppgiftsincident en handling som gör att personuppgifter riskerar att hamna i orätta händer. Enligt dataskyddsförordningen, GDPR, så är det en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Med andra ord handlar en personuppgiftsincident om slarv från den personuppgiftansvarige organisationen. Däremot inte ett uppsåtligt slarv utan snarare om att den mänskliga faktorn ställt till det. Som exempel på personuppgiftsincidenter kan nämnas en dator med lokalt sparade personuppgifter om exempelvis kunder som glömts på en buss eller ett tåg och därefter försvunnit.

Ett brott mot dataskyddslagen är allvarligt och kan leda till höga böter.

Olika typer av incidenter

Personuppgiftsincidenter delas upp på lite olika vis. Allt beror på karaktären av incidenten, vem som gjorde den och konsekvensen utav incidenten. Dessa undergrupper är sekretessbrytande incidenter, tillgänglighetsincidenter och integritetsincidenter. Exempelvis kan ett företags missbruk av Mobilt Bank-ID vara en sådan incident.

Värt att notera är att en personuppgiftsincident inte nödvändigtvis bara måste vara en av de tre ovanstående undergrupperna. Det kan lika gärna omfatta två eller till och med tre av grupperna beroende på karaktären av incidenten i fråga.

Sekretessbrytande incidenter

Sekretessbrytande incidenter är incidenter där någon obehörigen, men genom uppsåt, eller på grund av organisationens misstag får tillgång till personuppgifter.

Tillgänglighetsincidenter

Tillgänglighetsincidenter omfattar olyckor och annan tillgång eller förstörelse av personuppgifter som inte varit auktoriserad, det vill säga godkänd av någon personuppgiftsansvarig.

Integritetsincidenter

Integritetsincidenter inbegriper olyckor och annan ändring eller modifiering av personuppgifter som inte godkänts av någon ansvarig.

Fishing på nätet
Nätfiske är en vanlig form av personuppgiftsincident

Anmälan

En personuppgiftsincident måste, som tidigare nämnt, rapporteras av den personuppgiftsansvarige. Processen kring anmälan är detaljerad och rutinbaserad vilket gör den lätt att följa. Samtidigt finns det många fallgropar som gör att man kan begå misstag och då riskera sanktioner. Följer man de här stegen kan man vara lugn. Så här gör du för att anmäla en personuppgiftsincident:

  1. Dokumentation
    Grunden i allt arbete med personuppgifter är dokumentation – samt värdering av dokumentationen. Ibland ska dokumentationen gallras ut, ibland är det centralt att alla detaljer tas med. När det gäller dokumentation vid uppkommen incident är det av yttersta vikt att alla händelser kopplade till incidenten skrivs ned. Detta för att Datainspektionen ska ha en så klar bild av det inträffade som möjligt. Ju bättre insatser som gjorts för att förhindra incidenten, desto viktigare är det att dessa dokumenteras på ett sätt som kan presenteras klart och tydligt för Datainspektionen.
  2. 72-timmarsregeln
    En viktig faktor är den så kallade 72-timmarsregeln. Precis som namnet avslöjar så innebär den att en anmälan måste vara Datainspektionen till hands inom 72 timmar, det vill säga 3 dygn, efter den inträffade överträdelsen.
  3. Anmälan till Datainspektionen
    Den myndighet som ska få in anmälan är som sagt Datainspektionen. Datainspektionen är myndigheten som bland annat ansvarar för att hantering av personuppgifter görs på ett så korrekt och lagenligt sätt som möjligt.
  4. Undantag
    Inga regler utan undantag brukar det heta. Så är de även i fallet med personuppgiftsincidenter. Det finns i huvudsak två faktorer som kan leda till undantag från ovanstående regler i dataskyddslagen, GDPR.

    1. Dataskydd generellt i organisationen
      För det första tas organisationens generella arbete med dataskydd i beaktning för hur strängt reglerna ska tillämpas. Visar det sig att organisationen i stort har ett hållbart, säkert och tryggt sätt att hantera personuppgifter på så anses det som en förmildrande omständighet. Incidentanmälan behöver då inte göras om man lyckats åtgärda problemet utan att personuppgifterna i fråga riskerat att hamna i fel händer.

    2. Artikel 29-gruppens tolkning
      Artikel 29-gruppen är en arbetsgrupp inom EU-kommissionen som fokuserat på frågor om personuppgifter och integritetsskydd. De har kommit med en tolkning av lagtexten som lyder att anmälan inte krävs vid kortare tillgänglighetsincidenter. Värt att notera är dock att deras tolkning enkom ska ses som en rekommendation och inte bindande lagtext.