I Östhammars kommun vilar ansvaret för hanteringen av personuppgiftsincidenter på kontorscheferna, men även andra personalgrupper deltar i hanteringen. Här följer en checklista för hur hanteringen ska gå till. Använd dig av kommunens e-tjänst för incidenthantering när du skall anmäla en personuppgiftsincident (länk i knappen till höger)
Om incidenten bedöms som allvarlig (alternativ 1)
Om incidenten bedöms som mindre allvarlig (alternativ 2)
De första åtgärderna
Åtgärda akuta problem
- Avvärj akuta risker, se till att berörda personuppgifter skyddas.
Informera dataskyddsombudet
- Informera dataskyddsombudet vid misstanke om allvarlig personuppgiftsincident.
- Informera närmaste chef
- Informera kommunens dataskyddssamordnare vid behov
Utred händelsen skyndsamt
- Utred art och omfattning: Hur många registrerade har drabbats? Vilka personuppgifter berörs? Vilka konsekvenser har incidenten fått?
Bedöm om rapporteringsskyldigheten gäller
- Allvarliga personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten, inte senare än 72 timmar efter upptäckt. Mindre allvarliga incidenter behöver inte rapporteras till Integritetsskyddsmyndighet. Här finns regelverk att beakta. För att underlätta bedömningen av incidenters allvarlighetsgrad finns också kommungemensamma riktlinjer, läs dem här.
- Samråd alltid med dataskyddsombudet i frågan om allvarlighetsgrad och rapporteringsskyldighet.
- Fatta beslut om att rapportera eller inte rapportera till Integritetsskyddsmyndigheten.
Om incidenten bedöms som allvarlig (alternativ 1)
Sammanställ rapport till Integritetsskyddsmyndigheten
Fyll i Integritetsskyddsmyndighetens e-formulär
Fyll i efterfrågade uppgifter i det e-formulär för rapportering av personuppgiftsincidenter som finns på integritetetsskyddsmyndighetens hemsida.
Särskilt om informationsskyldigheten
Integritetsskyddsmyndigheten frågar i sitt formulär om kommunen planerar att informera de personer vars personuppgifter incidenten rör. Här finns regelverk att beakta. Samråd alltid med dataskyddsombudet innan du fyller i och motiverar ditt val.
Särskilt om planerade preventiva åtgärder
Integritetsskyddsmyndigheten frågar i sitt formulär om kommunen ämnar företa några åtgärder för att förebygga att liknande incidenter sker igen. Samråd alltid med dataskyddsombudet innan du fyller i ditt svar här, så att åtgärdsförslagen blir i linje med kommunens övriga dataskyddsarbete.
Överväg möjligheten att sända en preliminär rapport
Observera att det är möjligt att sända en preliminär rapport till Integritetsskyddsmyndigheten inom 72 timmar, och komplettera rapporten med mer utförlig information i ett senare skede. Överväg detta, om extra tid skulle gynna rapportens kvalitet avsevärt.
Diarieför och posta rapporten till Integritetsskyddsmyndigheten
När alla uppgifter är ifyllda, sänd iväg rapporten till Integritetsskyddsmyndigheten. Diarieför den utgående rapporten på sedvanligt sätt. Skriv som ärenderubrik ”Anmälan av personuppgiftsincident” och ge ärendet diarieplansbeteckning 997 (incidentrapportering).
Skicka en kopia av rapporten till dataskyddsombudet.
Om incidenten bedöms som mindre allvarlig (alternativ 2)
Dokumentera incidenten
Fyll i formuläret ”Dokumentation av mindre allvarlig personuppgiftsincident” som finns på Östhammars kommuns hemsida INES (i inloggat läge).
Avsluta och arkivera
Dokumentera incidenten
- Ställ samman all information som kommit fram i utredningen till en akt, det vill säga all relevant information som samlats in om incidenten, berörda handlingar och viktiga uppgiftslämnare, samt – i vissa fall – uppgifter om de enskilda personer vars personuppgifter incidenten drabbat.
- Om personuppgiftsincidenten diarieförts, meddela då dataskyddsombudet diarienumret.