Personuppgiftsincident (data breach)

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Personuppgiftsincidenter ska anmälas till Datainspektionen (Integritetsskyddsmyndigheten) inom 72 timmar från det att man upptäckt vad som hänt.

Man behöver inte göra någon anmälan om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

Läs mer om hur personuppgiftsincidenter ska hanteras på Datainspektionens webbplats