Här ges information för hur anställda i Östhammars kommun ska agera i händelse av en personuppgiftsincident. Informationen syftar till att skapa en systematisk hantering av personuppgiftsincidenter i enlighet med Dataskyddsförordningens krav. Informationen gäller för samtliga kontor och verksamheter i Östhammars kommun.
Allmänt om lagstiftningen
Dataskyddsförordningen (GDPR) ställer krav på hur myndigheter ska agera vid personuppgiftsincidenter. Huvudregeln är att alla personuppgiftsincidenter ska anmälas till Integritetsskyddsmyndigheten inom 72 timmar, men det finns undantag.
Det är av stor vikt att alla anställda i Östhammars kommun har kunskap om regelverket och att personuppgiftsincidenter inom förvaltningar och verksamheter hanteras på ett korrekt och skyndsamt sätt. Det är viktigt för att värna om relationen till de registrerade, alltså de medborgare, anställda och samarbetsparter vars personuppgifter vi hanterar. Men det är också viktigt för att undvika oönskade påföljder. En överträdelse av Dataskyddsförordningen kan leda till omfattande böter.
Personuppgiftsincident enligt Dataskyddsförordningen
Dataskyddsförordningen rymmer en vid definition av begreppet personuppgiftsincident. En personuppgiftsincident är en säkerhetsincident som berör personuppgifter. Det kan vara en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Det kan också vara en händelse som leder till obehörigt röjande av eller obehörig åtkomst till personuppgifter. Den exakta definitionen ges i Dataskyddsförordningens artikel 4:12 Dataskyddsförordningen i fulltext | IMY (länk till extern webbplats).
Karaktären och storleksgraden på en personuppgiftsincident kan variera. En omfattande hackerattack i ett journalsystem räknas förstås som en personuppgiftsincident, men det gör också en förlust av en mobil enhet som rymmer personuppgifter, liksom ett tekniskt misstag som leder till att en anställd får tillgång till personuppgifter som denne saknar behörighet för. Andra exempel på vardagliga men potentiellt allvarliga personuppgiftsincidenter är att dokument med känsliga uppgifter glöms kvar i skrivare eller att e-post med skyddsvärda personuppgifter skickas till fel adressat.
En personuppgiftsincident kan leda till ekonomiska och sociala skador och risker för de registrerade. Som exempel nämner Dataskyddsförordningen bland annat identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende och förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt.