Enligt Dataskyddsförordningen (GDPR) ska personuppgiftsincidenter anmälas till Datainspektionen om det inte är ”osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter”. Anmälan ska göras inom 72 timmar efter att den personuppgiftsansvarige fått vetskap om incidenten. Ok, detta har ni säkert läst några gånger. Men vad betyder det egentligen?
Denna artikel är skriven i samarbete med MAQS Advokatbyrå.
Har du koll på vem som gör vad vid en personuppgiftsincident? Hur ska man veta vad som är en personuppgiftsincident och när en sådan ska anmälas? Vem bestämmer det? Och vad ska vi egentligen hinna med under dessa 72 timmar? Frågorna är många, vi ska försöka bena ut vad det är som gäller.
Kravet på anmälan och annan hantering vid en personuppgiftsincident innebär bl.a. att alla företag och organisationer måste förbereda sig praktiskt för att kunna uppfylla sina skyldigheter. Precis som vad som gäller för flertalet andra krav enligt Dataskyddsförordningen, har det praktiska arbetet avgörande betydelse för att ett företag ska kunna följa reglerna. En förberedd organisation är en viktig pusselbit.
I dataskyddsförordningen definieras en personuppgiftsincident som "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats". Det kan bl.a. handla om att personuppgifter spridits till andra än de som ska ha tillgång till dem eller att personuppgifterna har förstörts eller på annat sätt försvunnit när det inte har varit avsikten.
Exempel:
Det är naturligtvis viktigt att för det första undvika att det inträffar personuppgiftsincidenter. Ett medvetet säkerhetsarbete, som innefattar både tekniska och organisatoriska säkerhetsåtgärder, är en förutsättning för att minska risken för personuppgiftsincidenter.
Om en personuppgiftsincident ändå inträffar så innebär det att ett flertal krav och skyldigheter i Dataskyddsförordningen aktualiseras.
Utbilda era medarbetare så att alla kan grunderna i Dataskyddsförordningen. Lägg extra krut på att utbilda de i personalen som behandlar mycket personuppgifter, exempelvis HR, och de som har ansvar för säkerhet och system, exempelvis chefer/systemägare och IT. Identifiera de områden där ni ser att det finns en större risk att en incident kan inträffa. Exempel: e-posthanteringen (phishing, felskick av meddelanden m.m.), hantering av arbetstelefoner (borttappad smartphone) och övriga intrång i IT-system. Se till att utbilda och informera specifikt kring dessa områden.
Det är såklart viktigt att alla medarbetare vet vart och till vem de ska vända sig om de får kännedom om eller tror att det inträffat en incident. Skapa rutiner och informera om dessa samt kontrollera med jämna mellanrum att medarbetarna vet vad som gäller.
Om en incident rapporteras av en medarbetare gäller det att ni kan hantera situationen på ett bra sätt. Ni behöver kunna ta ställning till följande frågor:
Förbered den eller de grupper som ska hantera de interna rapporterna om incidenter. Se till att gruppen är beslutsför. Förbered eventuella externa experter så att de är insatta i er verksamhet om ni behöver snabb hjälp (IT-experter, jurister m.fl.).
Det är viktigt att ni dokumenterar era åtgärder. Förbered dokumentation och mallar för de åtgärder som ni ser kommer att behöva vidtas. Exempel: Mall för den interna rapporteringen av incident (ett standardmail med vissa frågor som ska besvaras). Protokoll över möte i gruppen som behandlar incidenten, med beslutspunkt.
Om företaget inte hanterar personuppgiftsincidenter på ett korrekt sätt kan det få allvarliga konsekvenser för de drabbade personerna (hemliga uppgifter kommer ut, lösenord kommer i orätta händer m.m.). Och för företaget kan det innebära en överträdelse av Dataskyddsförordningen som kan leda till att företaget måste betala sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen. Det finns alltså – som så ofta – flera goda skäl att göra rätt!
Med Servicepaket Dataskydd i arbetslivet får du svar på vad som gäller och stöd i ditt GDPR-arbete. Vi samarbetar med några av Sveriges bästa GDPR-advokater och gör det enkelt för dig som arbetsgivare att anpassa dig till reglerna. Få tillgång till paketet