Nyhet Bransch 19 september 2019

Personuppgiftsincident– vad är det och hur ska den hanteras?

Dataskyddsförordningen, GDPR, innehåller inte bara regler om inhämtande och behandling av personuppgifter utan även omfattande regler för hur man som personuppgiftsansvarig är skyldig att hantera så kallade personuppgiftsincidenter. En personuppgiftsincident är kortfattat en händelse som leder till att inhämtade personuppgifter förstörs, förloras, förändras eller röjs, dvs att de av något skäl kommer i orätta händer. Det kan vara fråga om något som inträffat hos den personuppgiftsansvarige själv eller hos någon som är personuppgiftsbiträde åt denne, såsom exempelvis en IT-leverantör.

Praktiska exempel på personuppgiftsincidenter kan vara att en dator som innehåller personuppgifter stjäls vid ett inbrott, att personuppgifter oavsiktligt raderas i mäklar- eller kundvårdssystem eller att personuppgifter genom ett e-postmeddelande som skickas till fel mottagare blir åtkomliga för obehöriga.

När något sådant inträffar gäller enligt huvudregeln i Dataskyddsförordningen en skyldighet för den personuppgiftsansvarige att anmäla incidenten till Datainspektionen och i vissa fall även underrätta de personer vars personuppgifter har berörts av det inträffade. En anmälan till Datainspektionen ska då göras utan onödigt dröjsmål och om så är möjligt inom 72 timmar efter att man har fått kännedom om incidenten.

Anmälningsplikten är dock inte absolut, utan det finns ett viktigt undantag. Om det kan bedömas som osannolikt att det inträffade medfört en risk för enskilda personers rättigheter och friheter behöver ingen anmälan göras. Mot bakgrund av den korta tidsfristen för en anmälan är det angeläget att man som personuppgiftsansvarig snabbt gör en bedömning av vilken risk incidenten kan medföra och beslutar om man ska eller kan avstå från att ge in en anmälan.

Oavsett om personuppgiftsincidenten anmäls eller inte är den personuppgiftsansvarige alltid skyldig att för egen del dokumentera det som inträffat. För detta finns ingen särskild blankett, men av dokumentationen ska bl.a. framgå omständigheterna kring incidenten, såsom när och hur den inträffat och vilka effekter den fått eller antas få för de behandlade. Av stor vikt är också att notera vilka åtgärder som vidtagits samt, om man avstått från att anmäla incidenten, vilka överväganden man gjort och grunderna för att man inte funnit skäl att anmäla händelsen.

Om en incident inträffar hos ett personuppgiftsbiträde ska denne alltid underrätta den som har personuppgiftsansvaret om det som hänt. Underrättelsen ska ske omedelbart, eller utan ”onödigt dröjsmål” som förordningen föreskriver, detta för att inte fördröja den personuppgiftsansvariges möjligheter att vidta de föreskrivna åtgärder som anges ovan. Om biträdet har behov av att utreda händelsen närmare får det därför ske efter man underrättat den ansvarige för att senare komplettera underrättelsen med uppgifter om vad man kommit fram till.

Niklas Rollgard
Förbundsjurist Mäklarsamfundet

Jonas Anderberg
Chefsjurist Mäklarsamfundet

Skapad 19 september 2019

Uppdaterad 13 mars 2023

GDPR

Bostadsrättens indirekta nettoskuld

Personuppgiftsincident– vad är det och hur ska den hanteras?

Relaterade nyheter

Svensk Mäklarstatistik uppdaterar sin personuppgiftspolicy – Så berörs du

Du har väl inte glömt GDPR?

En månad med GDPR – här är de vanligaste frågorna

Dina personuppgifter som medlem i Mäklarsamfundet (GDPR)

Har du koll på GDPR?

Tambur nu säkrat för GDPR

Branschriktlinjer för tillämpning av Dataskyddsförordningen i fastighetsmäklarverksamhet

5 frågor och svar om GDPR

Branschriktlinjer för GDPR på gång!

Dataskyddsförordningen ersätter personuppgiftslagen