Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Personuppgiftsincidenter

    Vad säger regelverket?

    Vissa personuppgiftsincidenter ska rapporteras inom 72 timmar till Datainspektionen men alla personuppgiftsincidenter ska dokumenteras, eftersom Datainspektionen senare kan vilja följa upp hanteringen. I vissa fall ska också information ges till de registrerade.
    Det är den personuppgiftsansvariga organisationen som ska rapportera incidenten, det vill säga den församling eller pastorat som bestämt ändamål (varför personuppgiften ska behandlas) och vilka medel (vilka IT-system och arbetssätt) som ska användas. 
    Tänk på att även incidenter som inträffar hos ett personuppgiftsbiträde behöver anmälas av den personuppgiftsansvariga. 

    Innan beslut fattas om ifall en incident ska anmälas eller inte måste dataskyddsombudet tillfrågas om sin bedömning. Dataskyddsombudet är en resurs som kan bistå i incidentarbetet.
    Datainspektionen har lagt ribban lågt avseende vilka incidenter som ska anmälas. Att inte anmäla en incident som behöver anmälas kan leda till sanktioner upp till 10 miljoner euro så vid osäkerhet är det bättre att anmäla en gång för mycket än en för lite.

    Vad är en personuppgiftsincident?

    En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors registrerades fri- och rättigheter. Det kan till exempel orsakas av:

    • ett virus eller en hackare som tar sig in i IT-systemen.
    • att en telefon eller dator blir stulen eller förloras på annat sätt.
    • att man mejlar till fel mottagare och på så sätt delar personuppgifter med en obehörig. 
    • att man av misstag raderade viktiga personuppgifter som inte enkelt kan återskapas.

    Det kan också handla om att man förlorar åtkomsten till IT-system av ett eller annat skäl. En incident kan också uppstå om någon obehörigen tar med sig dokument innehållande personuppgifter när anställningen slutar. Detta kan vara en särskild risk eftersom anställda som byter jobb inom Svenska kyrkan tar med sig sin mejladress och det som lagrats lokalt hos personen. Det innebär att man vid byte av anställning måste tillse att uppgifter överlämnas eller raderas. Detta är ett exempel på en risk i verksamheten som det är viktigt att försöka förebygga.
    Har anställda eller förtroendevalda förvarat era uppgifter på sin hemdator uppstår en incident om datorn stjäls. Det är ytterligare ett exempel på risk som kan förebyggas genom tydlig rutin kring användning av privat IT-utrustning.

    I rutinen för personuppgiftshantering, här till höger finns fler exempel på vad en incident kan vara. Där hittar du också ytterligare information och våra lästips.

     

    Hur ska man hantera en personuppgiftsincident?

    Incidenter kräver alltid att man dokumenterar dem. För det ändamålet finns en blankett för dokumentering av incidenter församlingen/pastoratet kan använda. När blanketten fylls i bör man följa rutinen för personuppgiftsincidenthantering. Ett viktigt förberedelsearbete är att alltid ha rutinen uppdaterad så att alla kontaktuppgifter är kända. Den bör också vara känd för alla medarbetare genom utbildning och information på intranät eller liknande.
    Vissa incidenter ska anmälas till Datainspektionen inom 72 timmar. Tiden räknas från det att någon inom församlingen/pastoratet fått kännedom om det inträffade.  Församlingen/pastoratet ska anmäla alla incidenter utom de där man kan utesluta att en enskild drabbas. I rutinen och blanketten finns en metod för att skatta hur den enskilde drabbas.
    Beslut om att anmäla incidenten tas normalt av kyrkoherden eller annan som fått delegation att göra det. Dataskyddsombudets åsikt ska inhämtas och dokumenteras.
    Om incidenten anmäls ska den postas till Datainspektionen (får inte skickas via mejl). Detta innebär att man normalt också kan behöva säkra att man hamnat inom 72-timmarsfristen. En bra rutin är att mejla Datainspektionen direkt efter man postat anmälan och tala om att den skickats.
    Incidentdokumentation och anmälan ska diarieföras. Man kan välja vilken rutin som passar bäst: ha ett årsnummer eller diarieföra varje incident med ett eget nummer. För att ha koll på incidenterna är det också bra att ha en förteckning över de incidenter som inträffat under året. Det kan ta olika lång tid med efterarbetet och det är annars svårt få en bra överblick. Vill inte dataskyddsansvariga använda förteckningen kan den vara ett bra hjälpmedel för dataskyddsombud.
    Datainspektionen fattar beslut rörande alla anmälda incidenter. Inspektionen kan också välja att starta en tillsyn som kan sluta med förelägganden eller sanktioner. 
    Även om inga incidenter har anmälts kan Datainspektionen välja att starta en tillsyn. En sådan kan röra hur församlingen dokumenterat incidenter. Det är därför viktigt att rutiner finns och dokumentation görs korrekt.



    Redaktör
    Björn Ericsson, Häftstiftet
    Innehållsansvarig
    Rikard Johansson, Häftstiftet
    Uppdaterad
    2020-02-26
    X
    Dokumentid: 1413998- Webid: 28950 - Unitid: 14