Det är viktigt att känna till definitionen av en personuppgiftsincident när ett företag behandlar personuppgifter. När personuppgifter blir obehörigt eller oavsiktligt ändrade eller förstörda, utgör det en personuppgiftsincident. Detsamma gäller om någon obehörig får tillgång till personuppgifter. Med andra ord är en personuppgiftsincident en säkerhetsincident avseende personuppgifter. Det spelar ingen roll om det sker avsiktligt eller på grund av ett misstag. En vanlig personuppgiftsincident är felskickade mejl som innehåller personuppgifter.
Företag bör känna till definitionen av en personuppgiftsincident enligt GDPR
Förutom att känna till definitionen av en personuppgiftsincident, är det viktigt att företag även förstår hur de uppstår. Vidare är det viktigt att känna till vad företaget kan göra för att förebygga personuppgiftsincidenter. Bland annat ska företaget förebygga personuppgiftsincidenter genom att vidta olika lämpliga organisatoriska och tekniska säkerhetsåtgärder.
Exempel på tekniska säkerhetsåtgärder är att implementera kryptering och installera antivirusprogram. Beträffande organisatoriska säkerhetsåtgärder, kan företaget implementera interna rutiner avseende lösenordshantering som medarbetarna ska följa. Rutinerna kan innehålla instruktioner om att medarbetare ska använda komplicerade och unika lösenord till systemen som behandlar personuppgifter.
Dessutom ska företag i vissa fall anmäla en personuppgiftsincident till IMY, som är den svenska dataskyddsmyndigheten. Anmälan ska enligt GDPR ske inom 72 timmar från och med upptäckten, i de fall incidenten är anmälningspliktig. I vissa fall ska företaget även informera de registrerade som blivit påverkade av incidenten om det inträffade.
Något som är viktigt att tänka på är att företaget alltid ska dokumentera personuppgiftsincidenter skriftligen. Detta gäller oavsett om personuppgiftsincidenterna ska bli anmälda till dataskyddsmyndigheten enligt kraven i GDPR eller inte.
Exempel på konsekvenser av en personuppgiftsincident för företaget eller de registrerade
I vissa fall kan en personuppgiftsincident leda till allvarliga konsekvenser för företaget eller de registrerade. Exempelvis risk för att bli utsatt för bedrägeri eller ryktesspridning som är skadlig. Vidare kan företaget lida ekonomisk skada. Bland annat genom att behöva betala en sanktionsavgift till staten eller skadestånd till registrerade som drabbats av personuppgiftsincidenten.
En ekonomisk skada kan uppstå om ett företag som exempelvis behandlar kreditkortsuppgifter blir utsatt för ett dataintrång. Detta inträffade nämligen ett stort företag, som fick 183 miljoner pund i sanktionsavgift när det inträffade ett dataintrång hos dem som ledde till att hundratusentals kreditkortsuppgifter och andra personuppgifter läckte. På www.AvtalGDPR.se som innehåller mycket information om GDPR och är en del av Digitala Juristerna finns mer information om detta ärende.
