Anmälan om personuppgiftsincidenter

Enligt barn- och utbildningsnämndens rutin för behandling av personuppgifter inom barn- och utbildningsnämndens verksamheter ska du om du råkar ut för ett dataintrång eller på annat sätt förlorar kontrollen över de uppgifter du behandlar dokumentera incidenten och omgående anmäla den till barn- och utbildningsförvaltningen. Förvaltningen anmäler till dataskyddsombudet och bedömer om det ska anmälas till tillsynsmyndigheten. Du måste göra det omgående då en eventuell anmälan till tillsynsmyndigheten måste göras inom 72 timmar.

Blankett för dokumentation hittar du nedan under Blanketter.

Du hittar barn- och utbildningsnämndens rutin för behandling av av personuppgifter nedan under Se även.

Vad är en personuppgiftsincident?

En personuppgiftsincident är när de personuppgifter vi behandlar:

  • har förstörts, oavsiktligt eller olagligt
  • gått förlorade eller ändrats
  • röjts till någon obehörig.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt, båda fallen är personuppgiftsincidenter.

När det sker en personuppgiftsincident finns det risk att individers rättigheter kränks genom till exempel diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt.

Några exempel på personuppgiftsincidenter är:

  • någon har kommit över ett lösenord som gör att den kan logga in i ett system som behandlar personuppgifter
  • ett mail som innehåller känsliga eller extra skyddsvärda personuppgifter skickas till fel mottagare
  • ett glömt papper i en skrivare innehåller känsliga eller extra skyddsvärda personuppgifter
  • en dator får en skadlig kod som gör att obehöriga kommer åt personuppgifter.

Vad ska vi göra om en personuppgiftsincident inträffar?

Varje personuppgiftsansvarig (nämn, förbund eller styrelse) ansvarar för att åtgärda, dokumentera och eventuellt anmäla personuppgiftsincidenter till datainspektionen. Den personuppgiftsansvariga bör därför utse en eller flera personer som ska se till att incidenter dokumenteras på rätt sätt, gör en bedömning ifall incidenten behöver anmälas till datainspektionen och vid behov göra en anmälan till datainspektionen. Det är viktigt att det finns någon eller några som kan göra detta även under semesterperioder. Om en anmälan till datainspektionen behöver göras så ska detta ske inom 72 timmar efter incidenten upptäckts.

Personuppgiftsincidenten dokumenteras genom att blanketten ’Anmälan om personuppgiftsincident’ fylls i. Detta ska göras omedelbart efter att incidenten har uppmärksammats. Denna dokumentation ska sparas hos den personuppgiftsansvariga och en kopia ska skickas till dataskyddsombudet. Fyll i så mycket som möjligt av blanketten direkt och gör sedan en bedömning om hur allvarlig incidenten är. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste detta anmälas till Datainspektionen. Är det osannolikt att det medför risker behövs det inte göras en anmälan. Anmälan till Datainspektionen ska göras inom 72 timmar efter att incidenten har upptäckts. Anmälan görs på Datainspektionens blankett för personuppgiftsincidenter eller via deras e-tjänst, dokumentationen som gjorts på vår blankett fungerar bra som underlag för detta. Datainspektionens blankett finns på deras hemsida. Om personuppgiftsincidenten anses vara allvarlig så ska de registrerade informeras om detta utan onödigt dröjsmål. I nödfall kan dataskyddsombudet kontaktas för hjälp med bedömningen.

Mer information hittar du på Datainspektionens sida om personuppgiftsincidenter, se länk nedan under Se även.