Personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Ett klassiskt exempel på en personuppgiftsincident är ett dataintrång som gör att en mängd personuppgifter stjäls eller läcker ut, men det kan också vara någonting så enkelt som att ett e-mail som innehåller personuppgifter skickas till fel mottagare.

Personuppgiftsincidenter som sker i vår verksamhet ska anmälas till Integritetsskyddsmyndigheten såvida det inte är osannolikt att incidenten kommer innebära risker för de registrerade. En sådan anmälan ska göras inom 72 timmar från det att någon i organisationen fick kännedom om incidenten. Det är därför mycket viktigt att man agerar snabbt när man uppmärksammar eller misstänker att det har skett en personuppgiftsincident i sin verksamhet.

I vissa fall är vi också skyldiga att informera den registrerade om incidenten.

Utgångspunkten är att alla personuppgiftsincidenter som sker ska rapporteras internt i stadens e-tjänst, även de incidenter som eventuellt också ska anmälas till Integritetsskyddsmyndigheten. Rapporten i e-tjänsten utgör en del av stadens dokumentation av händelsen.

Tänk på att en personuppgiftsincident kan vara allt från en liten enstaka händelse till en väldigt omfattande incident. Oavsett hur allvarlig ni bedömer att incidenten är så är det viktigt att den rapporteras vidare enligt gällande rutiner.