StartDataskyddsförordningen - GDPRPersonuppgiftsincident - Anmälan
Självservice
Publicerad 2022-04-14
Uppdaterad 2024-10-07 10:44

Krav för e-tjänst:

  • BankID
 

Om tjänsten

Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident eller om du misstänker att det har inträffat en incident. Detta ska ske senast 72 timmar från det att du misstänker eller vet att en incident har inträffat. 

Det här är en personuppgiftsincident

En personuppgiftsincident är en incident som sker när en individ förlorar kontrollen över personuppgifter eller att incidenten inskränker en individens fri- och rättigheter. Några exempel är diskriminering, identitetstöld, finansiell förlust eller brott mot sekretess.

En personuppgiftsincident uppstår när de personuppgifter vi behandlar:

  • förstörs, förvanskas, försvinner eller ändras på ett medvetet, omedvetet eller olagligt sätt.

  • blir tillgängliga för någon som inte har behörig tillgång till personuppgifterna.

  • röjs på ett obehörigt sätt (obehörigt röjande).

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade eller kommit i orätta händer. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad.

Bra att veta

En personuppgiftsincident kan inträffa när någon kan ha kommit åt eller tagit del av uppgifter denne inte har behörighet till, som exempelvis:

  • ett lösenord har nått en obehörig person som därmed skulle kunna logga in i system som behandlar personuppgifter.

  • ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare.

  • ett papper som innehåller uppgifter om namn och sjukdomstillstånd glöms i en skrivare.

  • en dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter. 

Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör):

  • vet att det inträffat en incident
  • misstänker att det har inträffat en incident

Sala kommun ska enligt lag anmäla vissa typer av incidenter till Integritetsskyddsmyndigheten (IMY). Medarbetaren/personuppgiftsbiträdet rapporterar incidenten via denna tjänst, sedan gör kommunens dataskyddsombud en bedömning av incidentens allvarlighetsgrad. Därefter rapporteras eventuellt incidenten till Integritetsskyddsmyndigheten, vilket ska ske inom 72 timmar från det att den upptäckts.