PERSONUPPGIFTSINCIDENTER

Information om personuppgiftsincidenter och åtgärder samt anmälningskrav enligt GDPR.

Information om personuppgiftsincidenter och åtgärder samt anmälningskrav enligt GDPR avtalgdpr

Tekniska och organisatoriska åtgärder

Personuppgiftsincidenter måste enligt GDPR i vissa fall bli anmälda till IMY inom 72 timmar av den som är ansvarig över personuppgifterna. GDPR kräver även att företag inför olika typer av tekniska och organisatoriska åtgärder för att på olika sätt skydda personuppgifterna.

De tekniska och organisatoriska säkerhetsåtgärderna som företaget implementerar ska vara lämpliga i förhållande till personuppgifternas art, riskerna med behandlingen, kostnaden för åtgärderna och de tekniska möjligheterna. 

Exempel på en organisatorisk säkerhetsåtgärd är att införa policys som alla medarbetare ska följa. Exempelvis dataskyddspolicy, IT-policy, årliga byten av lösenord m.m.

En teknisk säkerhetsåtgärd är att införa digitala säkerhetssystem som upptäcker intrång, försök till intrång, förlust eller förstörelse  av personuppgifter, antivirusprogram m.m. 

vanliga ExEMPEL PÅ personuppgiftsincidenter

Personuppgiftsincidenter är enligt GDPR en säkerhetsincident som kan innebära risk för människors rättigheter och friheter.

Felskickade mejl

Att skicka ett mejl som innehållerr personuppgifter till fel person eller med fel information, är den vanligaste personuppgiftsincidenten två (2) år i rad enligt rapporter från Integritetsskyddsmyndigheten. Exempelvis kan det ske genom att felstava mottagarens e-postadress. Därför är det bra att införa rutiner för hur medarbetare ska kontrollera att meddelanden blir skickade till korrekt mottagare. Det är även bra att ha en rutin för hur medarbetare ska agera om ett mejl blir skickat till fel person eller liknande. Företaget ansvarar för incidenterna och därför är det bra att ha tydliga instruktioner och policys. Dessa ska medarbetarna känna till och arbetar utefter.

Förlust eller stöld

Förlust av exempelvis mobiltelefon och dator kan tyvärr hända. Ofta finns det personuppgifter i en mobiltelefon, såsom namn och telefonnummer. Många arbetar idag med sin dator och använder kalender eller dokument där man skriver in personuppgifter. Därför är det mycket viktigt att se till att ha lösenord. Bland annat i hårdvarorna och i de interna system och register som företaget använder. Dessutom är det viktigt att ha rutiner för vad som ska ske om en incident inträffar. Exempelvis är det bra om det är möjligt att spärra en telefon eller att tömma en digital lagringsplats på distans. På så sätt kan man förhindra att personuppgifter hamnar i fel händer och att minimera riskerna med incidenten.

Dataintrång 

Det är tyvärr vanligt att företag och deras digitala system blir hackade. Därför är det mycket viktigt  att försöka arbeta för att förhindra det. Exempelvis är det bra att ha olika lösenord, för olika system,  som är väldigt komplicerade, långa och som består av olika tecken, bokstäver och siffror. Det finns idag hackare som använder robotar för att testa sig fram med olika lösenord för att försöka komma åt innehåll. Det är bra att införa system som upptäcker försök till intrång. Även system som kan blockera en användare från att försöka logga in med felaktigt lösenord för många gånger eller liknande. Om ett dataintrång inträffar, ska det bli anmält till både Polisen och Integritetsskyddsmyndigheten.

Fysiska dokument 

Utskrivna handlingar och dokument som innehåller personuppgifter. Exempelvis kan anställningsavtal eller annat avtal, råka komma bort eller i orätta händer. Det är viktigt att vara organiserad och att tänka på vart sådant blir lagrat. Ett förslag är att ha fysiska dokument i ett låst skåp, bortom räckhåll från obehöriga personer. Exempelvis är det viktigt att se till att inte lämna dokument som innehåller olika personuppgifter synligt eller tillgängligt på ett obemannat skrivbord där obehöriga har tillträde eller liknande. 

GDPR-avtal till fasta priser

Innehåll i en anmälan enligt gdpr

En vanlig fråga många företagare undrar är bland annat: ”Vad ska jag göra om personuppgiftsincidenter sker enligt GDPR?”

Först och främst är det viktigt att ha interna rutiner om vad som behöver bli gjort om det sker. Det är viktigt att först anmäla incidenten till Integritetsskyddsmyndigheten och ibland även till Polisen. Anmälan måste enligt GDPR ske inom 72 timmar.

Artikel 33 i GDPR innehåller även en bestämmelse som anger vad en sådan anmälan ska innehålla. Det är främst nedanstående centrala delar.

I anmälan ska det framgå en beskrivning av incidenten och vilken typ av incident det handlar om. Anmälan ska dessutom, om det är möjligt, innehålla information om vilka typer av personer och kategorier av personuppgifter som är berörda av incidenten. Företaget ska även redovisa uppgift om ungefärligt antal personuppgifter som är berörda av incidenten.

Anmälan ska också innehålla namn och kontaktuppgifter till den person som kan ange mer information om händelsen. Exempelvis någon chef eller dataskyddsombudet.

Företaget ska även beskriva vilka de sannolika konsekvenserna är av incidenten och vilka åtgärder som företaget har vidtagit för att minska konsekvenserna av incidenten.

I GDPR framgår det även att företaget, ska dokumentera alla incidenter internt, exempelvis i en loggbok. Detta bör ske för att Integritetsskyddsmyndigheten ska kunna kontrollera att företaget följer GDPR.

Därefter är det viktigt att göra så mycket som möjligt för att förhindra de negativa effekterna av en incident.

Ju känsligare personuppgifterna är, desto mer säkerhet behöver företaget ha kring dem. I vissa fall ska företaget även kontakta personerna som blivit påverkade av incidenten och informera dem om det inträffade.

VI SKRIVER OCH GRANSKAR GDPR AVTAL

Vi kan skriva och granska ett GDPR avtal till fastpris. I våra priser ingår alltid samtal och genomgång med en jurist via dator och telefon.

Sammanfattning av GDPR för företag

Det finns mycket information om GDPR som är viktigt att känna till för företag. Vi har därför sammanfattat olika centrala delar för att kunna ge en överblick om GDPR, vad det innebär och vad företag måste göra för att följa regelverket.