Behandling

Behandling av personuppgifter enligt dataskyddsförordningen

Det finns flera saker att tänka på vid behandling av personuppgifter enligt dataskyddsförordningen (GDPR) och hantering av personuppgiftsincidenter.

En personuppgift är en uppgift som kan bli kopplad till en fysiskt levande person. Företag måste behandla personuppgifter i enlighet med GDPR som reglerar hur det ska gå till. Exempel på personuppgifter är namn och personnummer. Dessutom är det skillnad på personuppgifter med subjektiv och objektiv karaktär samt tydliga och mindre tydliga personuppgifter. Exempel på behandling av personuppgifter är insamling, lagring, bearbetning, strukturering, radering och användning. I princip allt man gör med personuppgifter, är en form av behandling.

Företag ska arbeta förebyggande genom att vidta organisatoriska och tekniska säkerhetsåtgärder för att försöka minimera risken för personuppgiftsincidenter. Dessutom ska företag ha rutiner för att kunna hantera eventuella personuppgiftsincidenter. Kort sagt är en personuppgiftsincident när personuppgifter blir förstörda eller ändrade. Detsamma gäller om någon obehörig får tillgång till personuppgifter. En vanlig personuppgiftsincident är felskickade mejl som innehåller personuppgifter. I vissa fall kan personsuppgiftsincidenter få allvarliga konsekvenser för de registrerade som blir drabbade. Till exempel att de blir drabbade av ID-stöld eller bedrägeri. I vissa fall har företag en skyldighet att rapportera personuppgiftsincidenter till IMY och registrerade. 

Om ett företag behandlar personuppgifter på ett sätt som inte är lämpligt, kan det leda till att de får betala en sanktionsavgift. Det är IMY (Integritetsskyddsmyndigheten) som är tillsynsmyndigheten i Sverige och de har befogenhet att tilldela företag, organisationer och offentliga organ sanktionsavgifter vid överträdelser av GDPR. Däremot utfärdar de inte alltid sanktionsavgifter, utan det beror på situationen. Vid mindre överträdelser kan de istället ge en reprimand (varning). Dessutom kan de be företaget upphöra med behandlingen. 

Tredjeland betyder enligt GDPR ett land utanför EU/EES-området. Det är tillåtet at överföra personuppgifter till ett tredjeland i vissa fall, men då gäller striktare regler. Ett exempel på överföring till tredjeland är när ett företag skickar ett mejl till någon i USA som innehåller personuppgifter. Vissa länder uppfyller kraven för adekvat skyddsnivå utanför EU/EES-området och då är det tillåtet att överföra personuppgifter dit. Observera att företag inte kan göra den bedömningen själva, utan det är EU-kommissionen som gör det. 

En personuppgiftsincident är en säkerhetsincident
Behandling

Information som ska framgå till registrerade vid incidenter 

Enligt artikel 34 i GDPR finns det särskild information som ska framgå till registrerade när incidenter (personuppgiftsincidenter) inträffar. Däremot behöver företag inte alltid informera de registrerade om en inträffad personuppgiftsincident som omfattar deras personuppgifter. Det finns alltså vissa typer av personuppgiftsincidenter som inte behöver bli anmälda till IMY och som inte heller behöver bli informerade […]

Information som ska framgå till registrerade vid incidenter  Läs inlägg »

Informationssäkerhet tekniska organisatoriska säkerhetsåtgärder minimerar personuppgiftsincidenter
Behandling

Rekommendationer om hur företag kan förebygga incidenter 

IMY har publicerat rekommendationer om hur företag kan förebygga incidenter som involverar personuppgifter (personuppgiftsincidenter). Om någon obehörig person får tillgång till personuppgifter, utgör det en personuppgiftsincident enligt bestämmelserna i GDPR. Detsamma gäller om personuppgifter blir oavsiktligt eller olagligt raderade, ändrade eller går förlorade. I vissa fall ska företag anmäla personuppgiftsincidenter till IMY och meddela de

Rekommendationer om hur företag kan förebygga incidenter  Läs inlägg »

Rapportering efter personuppgiftsincidenter hos ett biträde  enligt GDPR digitala juristerna
Behandling

Mänskliga faktorn var den vanligaste orsaken till incidenter 

Den mänskliga faktorn var den vanligaste orsaken till incidenter (personuppgiftsincidenter) under år 2022. Detsamma gällde under år 2021. Företag, organisationer och offentliga organ som behandlar personuppgifter bör därför ha interna rutiner för att kunna förebygga personuppgiftsincidenter som sker på grund av den mänskliga faktorn.  Den vanligaste orsaken till personuppgiftsincidenter var den mänskliga faktorn En personuppgiftsincident

Mänskliga faktorn var den vanligaste orsaken till incidenter  Läs inlägg »

Rulla till toppen
Call Now Button