En personuppgiftsincident riskerar att skada både företaget och de personer som finns registrerade hos er. Därför måste det finnas rutiner för hur ni arbetar både proaktivt och om olyckan är framme.
Om det inträffar en personuppgiftsincident måste företaget anmäla detta till tillsynsmyndigheten IMY inom 72 timmar. Om incidenten leder till allvarliga konsekvenser för de personer som är berörda ska dessa informeras så fort som möjligt.
➡ Cyberincidenterna blir allvarligare och det gäller att veta hur företaget ska agera. Missa inte detta kostnadsfria webbinarium i incidenthantering som ger dig en övergripande koll på vad som gäller.
Vad är en personuppgiftsincident?
En personuppgiftsincident är en incident som gör att de personuppgifter ett företag lagrar till exempel ändras, hamnar i fel händer eller förloras på annat sätt. Det kan handla om att en dator som innehåller personuppgifter blir stulen eller att någon gör ett dataintrång.
Eftersom konsekvenserna kan bli allvarliga, både gällande tilltron till företaget och personligen för de som drabbas, bör företag arbeta proaktivt för att förhindra möjligheten att de sker.
När måste de anmälas?
Oavsett om personuppgifterna har röjts oavsiktligt eller om det har skett med avsikt är det en personuppgiftsincident och måste anmälas och de negativa konsekvenserna för de berörda personerna måste bedömas. Företaget behöver ha rutiner klara för att effektivt kunna hantera en personuppgiftsincident på rätt sätt. De beslut företaget har tagit gällande incidenten måste dokumenteras och motiveras.
De personer som är berörda av en personuppgiftsincident kan riskera att drabbas av allvarliga konsekvenser. Det kan till exempel vara:
- Bedrägeri
- Identitetsstöld
- Ryktesspridning
- Diskriminering
- Ekonomisk skada
Om en personuppgiftsincident sker måste den anmälas till IMY om det finns risk för människors frihet och rättighet. Företaget gör själva bedömningen men om personuppgiftsincidenten inte hanteras korrekt kan företaget dömas till sanktionsavgift.
