Personuppgiftsincident (data breach)
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:
- diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
- finansiell förlust
- brott mot sekretess eller tystnadsplikt
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har
- blivit förstörda
- gått förlorade på annat sätt
- kommit i orätta händer
Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.
Man behöver inte göra någon anmälan om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.
Läs mer om hur personuppgiftsincidenter ska hanteras på IMYs (tidigare Datainspektionens) webbplats