Information för hantering av personuppgiftsincidenter

Här ges information för hur anställda i Östhammars kommun ska agera i händelse av en personuppgiftsincident. Informationen syftar till att skapa en systematisk hantering av personuppgiftsincidenter i enlighet med Dataskyddsförordningens krav. Informationen  gäller för samtliga kontor och verksamheter i Östhammars kommun.

Allmänt om lagstiftningen

Dataskyddsförordningen (GDPR) ställer krav på hur myndigheter ska agera vid personuppgiftsincidenter. Huvudregeln är att alla personuppgiftsincidenter ska anmälas till Integritetsskyddsmyndigheten inom 72 timmar, men det finns undantag. 

Det är av stor vikt att alla anställda i Östhammars kommun har kunskap om regelverket och att personuppgiftsincidenter inom förvaltningar och verksamheter hanteras på ett korrekt och skyndsamt sätt. Det är viktigt för att värna om relationen till de registrerade, alltså de medborgare, anställda och samarbetsparter vars personuppgifter vi hanterar.  Men det är också viktigt för att undvika oönskade påföljder.

En överträdelse av Dataskyddsförordningen kan leda till omfattande böter. 

Personuppgiftsincident enligt Dataskyddsförordningen

Dataskyddsförordningen rymmer en vid definition av begreppet personuppgiftsincident. En personuppgiftsincident är en säkerhetsincident som berör personuppgifter. Det kan vara en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Det kan också vara en händelse som leder till obehörigt röjande av eller obehörig åtkomst till personuppgifter.

Den exakta definitionen ges i Dataskyddsförordningens artikel 4:12, läs mer på Integritetsskydds myndighetens hemsida Dataskydds­förordningen i fulltext | IMY (länk till annan webbplats)

Karaktären och storleksgraden på en personuppgiftsincident kan variera. En omfattande hackerattack i ett journalsystem räknas förstås som en personuppgiftsincident, men det gör också en förlust av en mobil enhet som rymmer personuppgifter, liksom ett tekniskt misstag som leder till att en anställd får tillgång till personuppgifter som denne saknar behörighet för.

Andra exempel på vardagliga men potentiellt allvarliga personuppgiftsincidenter är att dokument med känsliga uppgifter glöms kvar i skrivare eller att e-post med skyddsvärda personuppgifter skickas till fel adressat. 

En personuppgiftsincident kan leda till ekonomiska och sociala skador och risker för de registrerade. Som exempel nämner Dataskyddsförordningen bland annat;

  • identitetsstöld eller bedrägeri

  • ekonomisk förlust

  • obehörigt hävande av pseudonymisering

  • skadat anseende och förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt. 

Personuppgiftsincidenter och personuppgiftshantering behandlas i Dataskyddsförordningens artiklar 4,33 och 34 samt beaktandesatser 86-88.

Läs på Integritetsskydds myndighetens hemsida Anmälan av en personuppgiftsincident till tillsynsmyndigheten - Dataskydds­förordningen i fulltext | IMY (länk till annan webbplats)

Krav på att åtgärda, rapportera, informera och dokumentera

Om en personuppgiftsincident upptäcks, är Östhammars kommun skyldig att hantera den i enlighet med Dataskyddsförordningens bestämmelser. 

Åtgärda

Kommunen ska skyndsamt åtgärda den problematik som orsakat personuppgiftsincidenten. Åtgärderna kan vara av teknisk art men också handla om förändringar i administrativa rutiner, kontroll- och tillsynsverksamhet. När så är lämpligt bör kommunen också vidta åtgärder för att mildra incidentens negativa skadeverkningar. Läs mer:

Dataskydds­förordningens beaktandesatser (skäl) | IMY (länk till annan webbplats) 

Rapportera

Kommunen ska rapportera personuppgiftsincidenten till Integritetsskyddsmyndigheten – så lyder huvudregeln.  Rapporteringen bör inte ske senare än 72 timmar efter att incidenten upptäckts. Det är fullt möjligt att sammanställa en preliminär rapport till Integritetsskyddsmyndigheten inom tidsfristen, med de uppgifter som då finns till hands, och vid ett senare tillfälle komplettera denna med ytterligare uppgifter.

Rapporteringsskyldigheten gäller ”såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och skyldigheter”.  Mindre allvarliga incidenter behöver alltså inte rapporteras.

En riskbedömning ska alltid göras för att fastställa om rapporteringsskyldighet föreligger. För de incidenter som ska rapporteras efterfrågar Integritetsskyddsmyndigeheten särskilda uppgifter via en  E-blankett som du hittar deras hemsida.

Anmäl personuppgifts­incident | IMY (länk till annan webbplats) 

Utöver uppgifter om personuppgiftsincidentens karaktär och omfattning, efterfrågas här uppgifter om företagna insatser för att åtgärda fel och minska skadeverkningar. Läs mer om de obligatoriska uppgifterna i en incidentrapportering i Dataskyddsförordningens artikel 33:

Obligatoiriska uppgifter vid anmälan | IMY (länk till annan webbplats)

Informera

Kommunen ska i vissa fall informera de människor som drabbats. En riskbedömning ska alltid göras för att fastställa om en informationsinsats är nödvändig. Informationsskyldigheten gäller nämligen ”om personuppgiftsincidenten sannolikt leder till hög risk för fysiska personers rättigheter och friheter”. Informationen ska företrädesvis ges enskilt till de drabbade.  

Det finns dock många omständigheter som gör att de registrerade inte alltid behöver informeras på detta sätt; undantagen listas i Dataskyddsförordningen artikel 34.

Undantag för att informera vid personuppgiftsincident | IMY (länk till annan webbplats) 

Dokumentera

Kommunen ska regelmässigt dokumentera personuppgiftsincidenter. Dokumentationsskyldigheten gäller alla personuppgiftsincidenter, alltså även sådana som räknas som mindre allvarliga och därför inte omfattas av rapporterings- eller informationsskyldigheten.  Dokumentationen ska innehålla en redogörelse för ”omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som tagits”, enligt Dataskyddsförordningen artikel 33. En motivering till varför personuppgiftsincidenten inte har rapporteras till Integritetsskyddsmyndigheten bör också finnas med.

Kap 33 - Anmälan av en personuppgiftsincident till tillsynsmyndigheten | IMY (länk till annan webbplats) 

Ansvar och roller i Östhammars kommun

Nämnder och kommunstyrelse

Det juridiska ansvaret för hanteringen av personuppgiftsincidenter i Östhammars ligger på nämnder och kommunstyrelse. Dessa är personuppgiftsansvariga och således ansvariga för att all personuppgiftsbehandling inom kommunen, liksom hos dess personuppgiftsbiträden, lever upp till Dataskyddsförordningen. 

Kontorschefer

I praktiken ligger ansvaret för hanteringen av personuppgiftsincidenter på kontorscheferna Dessa har således i uppgift att säkerställa att rapportering, åtgärdsverksamhet,  sköts i enlighet med Dataskyddsförordningen inom sina respektive organisationer.  

Kontorscheferna ska ta anmälningar om misstänkta personuppgiftsincidenter på allvar. De ska följaktligen utreda och fastställa om personuppgiftsincidenter, i Dataskyddsförordningens mening, verkligen föreligger.  

En anmälan behöver inte ha någon särskild form för att vara beaktansvärd, utan endast uttrycka misstanke om inträffad eller pågående personuppgiftsincident. Anmälan kan komma från intern personal, personuppgiftsbiträden eller medborgare och vara såväl muntlig som skriftlig.

Om personuppgiftsincidenten är IT-relaterad ska IT-avdelningen kontaktas omedelbart. 

Kontorscheferna beslutar om huruvida en personuppgiftsincident ska rapporteras till integritetsskyddsmyndigheten eller inte. De beslutar också om huruvida de registrerade ska informeras eller inte. Besluten ska grundas på riskbedömningar enligt Dataskyddsförordningens direktiv. I riskbedömningarna ska förvaltningscheferna alltid samråda med dataskyddsombudet. 

Den personuppgiftsincident som bedöms så allvarlig att den ska anmälas till integritetsskyddsmyndigheten ska diarieföras i kommunens ärendehanteringssystem.  

Den samlade dokumentationen kring en mindre allvarlig personuppgiftsincident – där rapporterings- och informationsskyldighet alltså inte anses föreligga – ska hanteras i kommunens e-tjänst för incidenthantering. Anmäl säkerhetsincident

IT-avdelningen

Om personuppgiftsincidenten är IT-relaterad ska den åtgärdas av IT-avdelningen. IT-avdelningen ska då också dokumentera incidenten och härvidlag beakta Dataskyddsförordningens krav. IT-avdelningen ska också skyndsamt kontakta berörd kontorschef – och bifoga relevant dokumentation – så att denne kan rapportera vidare till Integritetsskyddsmyndigheten eller sammanställa en redogörelse till dataskyddsombudet.

Dataskyddsombud, dataskyddssamordnare och kontaktpersoner för dataskydd

Dataskyddsombud

Dataskyddsombudet har i uppdrag att ge stöd och rådgivning till kommunens tjänstepersoner i GDPR-frågor samt att stötta det interna dataskyddsarbetet då viktiga dataskyddsfrågor behandlas.

Dataskyddssamordnaren

Dataskyddssamordnaren ansvarar för att bevaka och samordna arbetet med dataskydd och säkerställa en säker hantering av personuppgifter. Detta i linje med kommunens ledningssystem, externa krav och GDPR. I rollen ingår att samarbeta med kontaktpersoner för dataskydd, ge stöd till kommunens chefer och verksamheter samt att hålla kontakt med dataskyddsombudet – och Integritetsskyddsmyndigheten (IMY) vid behov. 

Kontaktpersoner för dataskydd

Kontaktpersoner för dataskydd är personer som utsetts för att tillsammans med dataskydds-samordnaren säkerställa en säker hantering och ett ändamålsenligt skydd av personuppgifter genom hela dess livscykel.

Samtliga chefer och medarbetare

Alla chefer och medarbetare i Östhammars kommun bör vara uppmärksamma på personuppgiftsincidenter.