Vad är en personuppgiftsincident och vad ska vi göra om en sådan inträffar? Om personuppgiftsincidenten medför en hög risk för de berörda enskilda personerna, bör även dessa personerinformeras, såvida det inte finns ändamålsenliga tekniska och organisatoriska skyddsåtgärder inrättade, eller andra åtgärder som säkerställer att det inte längre är troligt att risken förverkligas. Som organisation är det mycket viktigt att införa lämpliga tekniska och organisatoriska åtgärder för att undvika möjliga personuppgiftsincidenter. Exempel Organisationen måste göra en anmälan till dataskyddsmyndigheten och enskilda personer Uppgifterna om ett textilföretags anställda har läckt ut. Uppgifterna innefattade personliga adresser, familjesammansättning, månadslön och sjukersättningsanspråk för varje anställd. I detta fall måste textilföretaget upplysa tillsynsmyndigheten om incidenten.
GDPR: Personuppgiftsincident En personuppgiftsincident är enligt dataskyddsförordningen GDPR en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. En personuppgiftsincident kan vara något av följande: Obehörigt röjande: Personuppgifter har spridits på ett felaktigt sätt, till exempel genom att ett e-postmeddelande till medlemmar har skickats med öppen kopia så att alla mottagare är synliga för varandra. Obehörig åtkomst: Någon inom eller utanför organisationen har tagit del av information som den saknade behörighet till. Förlust: Information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen. Förstöring: Någon eller något har förstört information, till exempel genom att en dator har gått sönder. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.