Om tjänsten
Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident eller om du misstänker att det har inträffat en incident. Detta ska ske senast 72 timmar från det att du misstänker eller vet att en incident har inträffat.
Det här är en personuppgiftsincident
En personuppgiftsincident är en incident som sker när en individ förlorar kontrollen över personuppgifter eller att incidenten inskränker en individens fri- och rättigheter. Några exempel är diskriminering, identitetstöld, finansiell förlust eller brott mot sekretess.
En personuppgiftsincident uppstår när de personuppgifter vi behandlar:
-
förstörs, förvanskas, försvinner eller ändras på ett medvetet, omedvetet eller olagligt sätt.
-
blir tillgängliga för någon som inte har behörig tillgång till personuppgifterna.
-
röjs på ett obehörigt sätt (obehörigt röjande).
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade eller kommit i orätta händer. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.
Bra att veta
En personuppgiftsincident kan inträffa när någon kan ha kommit åt eller tagit del av uppgifter denne inte har behörighet till, som exempelvis:
-
ett lösenord har nått en obehörig person som därmed skulle kunna logga in i system som behandlar personuppgifter.
-
ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare.
-
ett papper som innehåller uppgifter om namn och sjukdomstillstånd glöms i en skrivare.
-
en dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.
Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör):
- vet att det inträffat en incident
- misstänker att det har inträffat en incident
Sala kommun ska enligt lag anmäla vissa typer av incidenter till Integritetsskyddsmyndigheten (IMY). Medarbetaren/personuppgiftsbiträdet rapporterar incidenten via denna tjänst, sedan gör kommunens dataskyddsombud en bedömning av incidentens allvarlighetsgrad. Därefter rapporteras eventuellt incidenten till Integritetsskyddsmyndigheten, vilket ska ske inom 72 timmar från det att den upptäckts.