Beställ valuta

Process för personuppgiftsincident

Navid Gerayeli (enskild firma)

Fastställd den 14-06-2023

1. Introduktion

En personuppgiftsincident är enligt dataskyddsförordningens definition en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust ,ändring eller obehörig röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Ett exempel är att en mobil enhet (t.ex. mobiltelefon eller bärbar dator) som innehåller organisationens kunddatabas stjäls eller tappas bort.

Det finns tre undergrupper av säkerhetsincidenter:

  1. Sekretessbrytande incidenter. Där någon obehörigen genom uppsåt eller på grund av organisationens misstag får tillgång till personuppgifter
  2. Tillgänglighetsincidenter. I detta omfattas olyckor och annan ej auktoriserad tillgång eller förstörelse av personuppgifter
  3. Integritetsincidenter. I detta omfattas olyckor och annan ej auktoriserad ändring/modifiering av personuppgifter

2. När skall en incident anmälas

En personuppgiftsincident har inträffat om personuppgifter har:

  • förstörts, oavsiktligt eller olagligt
  • gått förlorade eller ändrats
  • röjts till någon obehörig

En personuppgiftsincident skall alltid anmälas internt inom Gerayeli till Donya Salkhordeh, info@gexchange.se, 070-455 57 44.

En riskanalys av det inträffade skall göras och dokumenteras.

Riskanalys av incidenten innebär att en bedömning görs av potentiellt negativa konsekvenser för de registrerade personerna, baserat på hur allvarliga eller väsentliga dessa är och hur troligt det är att effekterna kan inträffa.

Hur anställda skall hantera personuppgifter finns beskrivet i Policy för hantering och skydd av personuppgifter.

3. Personuppgiftsincident arbetssätt

Vid incident skriver Donya Salkhordeh en incidentrapport som sparas på nätverket. Donya Salkhordeh gör en riskanalys, beskrivning av händelsen samt en konsekvensbedömning av incidentens omfattning och skada för drabbade.

4. Anmälan av personuppgiftsincident

Om en personuppgiftsincident inträffar och en riskanalys är genomförd enligt avsnitt 2 i denna processbeskrivning med utfall som visar på att en anmälan bör göras,  skall anmälan göras till Integritetsskyddsmyndigheten, IMY, inom 72 timmar. Om en handlare är personuppgiftsansvarig skall anmälan göras till kund.

Om den personuppgiftsansvarige i enlighet med ansvarsskyldighetsprincipen kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra risk för fysiska personers rättigheter och friheter har den personuppgiftsansvarige få längre tid på sig att anmäla händelsen och ska då ange skäl till fördröjningen. Om den drabbades fri- eller rättigheter inte riskeras att kränkas eller hotas gör Donya Salkhordeh en bedömning om huruvida rapportering till tillsynsmyndigheten är aktuellt eller inte.

5. Dokumentation av personuppgiftsincident

Personuppgiftsansvarig skall dokumentera alla personuppgiftsincidenter. Dokumentationen skall omfatta:

  • Omständigheter
  • Datum och klockslag då incident uppstod
  • Dess effekter
  • Korrigerande åtgärder
  • Kontakter, råd, kommunikation med IMY

Om den personuppgiftsansvarige i enlighet med ansvarsskyldighetsprincipen kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra risk för fysiska personers rättigheter och friheter har den personuppgiftsansvarige få längre tid på sig att anmäla händelsen och ska då ange skäl till fördröjningen. Om den drabbades fri- eller rättigheter inte riskeras att kränkas eller hotas gör Donya Salkhordeh en bedömning om huruvida rapportering till tillsynsmyndigheten är aktuellt eller inte.

6. Inkommande incidentrapport från underbiträden

I de fall ett underbiträde till Gerayeli råkar ut för en personuppgiftsincident skall incidenten rapporteras till Sileon som är att betrakta som Personuppgiftsansvarig i denna relation. Donya Salkhordeh bedömer händelsens omfattning samt påverkan och informerar Donya Salkhordeh.

7. Omedelbara åtgärder

Isolera felet så snabbt som möjligt och stäng av extern åtkomst.

Följande system och/eller applikationer samt arbetsutrustning bör beaktas:

  1. IT system
  2. Ärendehanteringssystem
  3. Ekonomisystem
  4. E-post exchange online
  5. Bärbar dator
  6. Stationär dator
  7. Mobiltelefon
  8. Servrar

8. Rapportering till Personuppgiftsansvarig (kund)

Vid incident skall Gerayeli underrätta den personuppgiftsansvarige och samtliga personuppgiftsansvariga som berörs av personuppgiftsincidenten utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

Finns inte all information tillgänglig vid rapporteringstillfället kan kompletterande uppgifter lämnas vid ett senare tillfälle. Dock skall detta göras senast två veckor efter inlämnad anmälan. Ange orsak till varför inte anmälan är komplett.

9. Rapportering till Integritetsskyddsmyndigheten

Bedöms personuppgiftsincidenten vara föremål för anmälan till IMY skall detta ske inom 72 timmar från det att personuppgiftsincidenten upptäckts. Anmälan görs via IMY’s hemsida och kan kompletteras inom 4 veckor.

Kontaktuppgifter IMY:

imy@imy.se


Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm

Telefon: 08-657 61 00

10. Rapportering till Registrerade

Om personuppgiftsincidenten kommer att medföra risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige omedelbart informera den registrerade.