When do you need to notify a data breach?

Har personuppgifter som ni behandlar gått förlorade, stulits eller blivit manipulerade?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Do I need to carry out a DPIA?

Yes, you need to carry out the DPIA

Any high risks remaining after the DPIA?

Do I need to carry out a DPIA?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Personuppgiftsincidenter kan ha en negativ inverkan på er organisation. Från ekonomisk förlust till böter, till minskat förtroende från era kunder, kan effekterna av personuppgiftsincidenter bli massiva. Därför är det viktigt att tillämpa god praxis och förfaranden för cybersäkerhet för att förebygga säkerhetsincidenter. Trots detta kan ni fortfarande drabbas av en personuppgiftsincident som ni kan behöva anmäla till er respektive dataskyddsmyndighet (DPA) eller kommunicera med de berörda personerna.

Vad är en ”personuppgiftsincident”

En personuppgiftsincident betyder ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”.

Organisationer bör vara medvetna om att en personuppgiftsincident kan omfatta mycket mer än att bara ”förlora” personuppgifter. Det omfattar incidenter som påverkar sekretessen, integriteten eller tillgängligheten av personuppgifter. Viktigt är att personuppgiftsincidenter inkluderar säkerhetsincidenter som är resultatet av både misstag (t.ex. att skicka ett e-postmeddelande till fel mottagare, förlora en USB-nyckel som innehåller kunddata eller oavsiktligt radera medicinska data för vilka ingen säkerhetskopiering finns tillgänglig) samt avsiktliga handlingar (t.ex. nätfiskeattacker för att få tillgång till kunddata).

Med andra ord omfattar detta situationer som där någon får tillgång till personuppgifter eller vidarebefordrar dem utan att ha lov att göra det, eller där personuppgifter görs otillgängliga genom kryptering av ransomware, eller oavsiktlig förlust eller förstörelse. Även om alla personuppgiftsincidenter är säkerhetsincidenter, är inte alla säkerhetsincidenter nödvändigtvis personuppgiftsincidenter (eftersom det kanske inte finns några personuppgifter som är inblandade i en viss säkerhetsincident).

Skyldigheter för personuppgiftsansvariga

Om ert företag agerar som personuppgiftsansvarig finns det tre huvudsakliga principer kring  personuppgiftsincidenter.

  1. dokumentation av eventuella personuppgiftsincidenter
  2. underrättelse om personuppgiftsincidenter till den berörda dataskyddsmyndigheten inom 72 timmar, såvida det inte är osannolikt att det leder till en risk för enskilda personer och
  3. information om incidenten till enskilda utan onödigt dröjsmål, om incidenten sannolikt kommer att leda till en hög risk för enskilda.

Det är av yttersta vikt att personuppgiftsansvariga förstår och fullgör dessa skyldigheter och i förväg genomför lämpliga förfaranden som gör det möjligt för dem att objektivt avgöra om någon av de åtgärder som nämns ovan krävs.

När det gäller alla överträdelser – även de som inte anmäls till en dataskyddsmyndighet därför att det bedöms osannolikt att de medför en risk – måste den personuppgiftsansvarige registrera åtminstone de grundläggande uppgifterna om incidenten, bedömningen av incidenten, dess effekter och de åtgärder som vidtagits, i enlighet med artikel 33.5 i dataskyddsförordningen.

Vilka åtgärder ska man genomföra och hur?

 

Anmälan om en personuppgiftsincident till relevant dataskyddsmyndighet

Enligt artikel 33.1 i dataskyddsförordningen ska alla personuppgiftsincidenter anmälas till den berörda dataskyddsmyndigheten, med undantag för sådana som sannolikt inte utgör någon risk för enskilda personer. För att underlätta denna anmälan har dataskyddsmyndigheterna infört förfaranden eller onlineformulär som kommer att vägleda er steg för steg för att säkerställa att ni tillhandahåller all nödvändig information.

Om incidenten äger rum i samband med gränsöverskridande behandling och anmälan krävs måste den personuppgiftsansvarige, om den är etablerad inom EES, underrätta den huvudansvariga dataskyddsmyndigheten. När en personuppgiftsansvarig utarbetar sin åtgärdsplan för incidenter bör den därför redan då göra en bedömning av vilken dataskyddsmyndighet som är den huvudansvariga dataskyddsmyndigheten som de kommer att anmäla eventuella incidenter till. Om den personuppgiftsansvarige är osäker på vilken den huvudansvariga dataskyddsmyndigheten är bör denne åtminstone underrätta den lokala dataskyddsmyndigheten där incidenten har inträffat.

Om anmälan krävs ska detta göras så snart som möjligt och inom 72 timmar efter det att incidenten har uppmärksammats. Om detta inte är möjligt kommer en motivering till förseningen att krävas. En organisation bör anses ha blivit ”medveten” när det finns en rimlig grad av säkerhet om att en säkerhetsincident har inträffat som har påverkat personuppgifter.

För att kunna visa den relevanta dataskyddsmyndigheten när och hur de blev medvetna om en personuppgiftsincident rekommenderas det att alla organisationer, som en del av sina interna förfaranden för personuppgiftsincidenter, har ett system för registrering av hur och när de blir medvetna om personuppgiftsincidenter och hur de bedömt den potentiella risken med incidenten.

Om det inte är möjligt att lämna all relevant information till dataskyddsmyndigheten inom 72-timmarsperioden bör anmälan göras i flera steg. Den första anmälan bör lämnas in och ytterligare information kan lämnas i etapper.

På samma sätt måste ni, enligt artikel 33.2 i GDPR, om ert företag är personuppgiftsbiträde, som behandlar personuppgifter på uppdrag av en annan organisation, underrätta den personuppgiftsansvarige om eventuella personuppgiftsincidenter utan onödigt dröjsmål. Detta är av avgörande betydelse för att den personuppgiftsansvarige ska kunna fullgöra sina anmälningsskyldigheter i rätt tid. Kraven på rapportering av incidenter bör också specificeras i avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet, i enlighet med artikel 28 i dataskyddsförordningen.

En anmälan om en personuppgiftsincident till den berörda dataskyddsmyndigheten måste minst

  • beskriva typen av personuppgiftsincident, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda personer samt kategorierna och det ungefärliga antalet berörda personuppgifter.
  • meddela namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas,
  • beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  • beskriva de åtgärder som företaget har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter.

Informera berörda personer om incidenten

Dessutom måste de personer som berörs av en incident i vissa fall informeras utan dröjsmål. Detta är fallet när personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter.

Syftet med detta krav är att se till att berörda personer kan vidta nödvändiga säkerhetsåtgärder om incidenter har inträffat som sannolikt kommer att leda till en hög risk för dem.

Sådan kommunikation till enskilda personer måste ske utan dröjsmål och, vid behov, i nära samarbete med den berörda dataskyddsmyndigheten. I de fall där det finns ett behov av att minska en omedelbar risk för enskilda personer kommer det att bli nödvändigt med snabb kommunikation.

Det finns omständigheter där personuppgiftsansvariga inte kommer att vara skyldiga att underrätta enskilda personer, till exempel om:

  • den personuppgiftsansvarige hade krypterat uppgifterna och krypteringsnycklarna inte äventyrats.
  • den personuppgiftsansvarige i efterhand har vidtagit åtgärder som säkerställer att den höga risken för enskilda personers rättigheter och friheter inte längre sannolikt kommer att förverkligas.

eller

  • det skulle innebära oproportionerliga ansträngningar. I ett sådant fall måste den personuppgiftsansvarige, genom offentlig kommunikation eller liknande åtgärder, fortfarande säkerställa att enskilda personer informeras på ett lika effektivt sätt.
    Denna kommunikation till den enskilde bör på ett klart och tydligt språk beskriva personuppgiftsincidentens art och innehålla åtminstone följande information:

Denna kommunikation till den enskilde bör på ett klart och tydligt språk beskriva personuppgiftsincidentens art och innehålla åtminstone följande information:

  • namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas.
  • en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten. och
  • en beskrivning av de åtgärder som organisationen har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter.
  • Meddelandet bör också innehålla en beskrivning av rekommendationer till de berörda personerna för att mildra eventuella negativa effekter av incidenten.

Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att i förväg planera och införa processer för att kunna upptäcka och snabbt begränsa en incident, bedöma risken för enskilda personer och sedan avgöra om det är nödvändigt att underrätta den behöriga dataskyddsmyndigheten och vid behov meddela de personer som berörs av incidenten.

När behöver ni anmäla en personuppgiftsincident?

När behöver ni anmäla en personuppgiftsincident?