Gå direkt till innehållet
EU-flaggan
svenska
Europeiska medborgarinitiativet

Vägledning om personuppgifter – fråga 11

Gå till startsidan för vägledningen om skydd av personuppgifter

 

Vägledning om personuppgifter – fråga 11

Vad ska vi göra vid en personuppgiftsincident?  

Detta gäller scenario 2, utom för användningen av kommissionens fildelningstjänst.

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller behandlats.

Anmäl personuppgiftsincidenten

Om ni upptäcker en personuppgiftsincident ska organisatörsgruppens företrädare snarast möjligt, i princip inom 72 timmar, anmäla detta till den behöriga dataskyddsmyndigheten, utom om incidenten sannolikt inte utgör någon risk för enskilda personers rättigheter och friheter.

Anmälan ska omfatta

  • en beskrivning av incidenten, antalet undertecknare som drabbats och vilka kategorier av uppgifter det gäller
  • dataskyddsombudets namn och kontaktuppgifter (eller annan relevant kontaktpunkt)
  • de sannolika konsekvenserna av incidenten med tanke på dess art
  • eventuella åtgärder som den personuppgiftsansvariga har vidtagit för att åtgärda incidenten eller mildra konsekvenserna.

Om du inte kan lämna alla upplysningar samtidigt kan du skicka in dem allt eftersom de blir tillgängliga.

Du måste också dokumentera fakta, effekterna och åtgärder som redan har vidtagits eller ska vidtas snarast möjligt (med en tidsplan).

Risker för fri- och rättigheter

Om incidenten sannolikt kan innebära en hög risk för undertecknarnas rättigheter och friheter ska de informeras om detta, utom om

  • de vidtagna åtgärderna (t.ex. kryptering, förutsatt att nyckeln inte äventyras) har gjort uppgifterna oläsbara eller säkerställer att riskerna sannolikt inte längre kommer att uppstå
  • kommunikationen med de enskilda undertecknarna skulle innebära en orimlig arbetsbörda. Då kan ni i stället gå ut med ett offentligt meddelande om incidenten och informera undertecknarna på det sättet.

OBS: 

Om kommissionen är gemensamt personuppgiftsansvarig för behandlingen och incidenten inte kan skyllas på organisatörsgruppens medlemmar är det kommissionen som fullgör de skyldigheter som beskrivs ovan. Organisatörsgruppen bör vid behov och i möjligaste mån hjälpa kommissionen att hantera personuppgiftsincidenter.

EU-lagstiftning:

Vill du lära dig mer och samarbeta med andra?
Gå med i forumet