Anmäla personuppgiftsincidenter

Anmäla personuppgiftsincidenter

Ifall en personuppgiftsansvarig på grund av en säkerhetsincident inte längre kan garantera att principerna för behandling av personuppgifter följs kan detta innebära risker för personers integritet och människors friheter och rättigheter. Sådana incidenter benämns personuppgiftsincidenter och EU:s dataskyddsförordning GDPR reglerar närmare hur sådana situationer ska hanteras. Enligt dataskyddsförordningen ska personuppgiftsincidenter anmälas till tillsynsmyndigheten, vilket för åländska myndigheter innebär Datainspektionen. Detta ska göras inom 72 timmar efter att incidenten upptäcktes. Beroende på arten och omfattningen kan även de registrerade, vars personuppgifter drabbats av incidenten, behöva informeras.

För mer information om vad som kan utgöra en personuppgiftsincident och hur en sådan ska hanteras, se vår allmänna vägledning gällande hantering av personuppgiftsincidenter (Nr 8/2018), som hittas här. 

Datainspektionens avsikt är att i framtiden kunna erbjuda en möjlighet att anmäla personuppgiftsincidenter via en e-tjänstplattform. Innan denna möjlighet är i bruk ska dock incidentanmälningar göras via vår pdf-blankett. Vi ber er vara uppmärksamma på att om blanketten bifogas i ett e-postmeddelande kan säkerheten för överföringen inte garanteras.

Tänk även på att en anmälan som lämnas in till Datainspektionen blir en allmän handling och därför kan begäras ut av allmänheten och massmedia. Vi uppmanar er därför att inte skriva mer än nödvändigt. Personuppgifterna som omfattas av incidenten får absolut inte anges här. Undvik även andra känsliga uppgifter. Ifall ni ändå väljer att skriva något som ni anser borde vara sekretessbelagt, kan ni ange detta i blanketten.

Kom ihåg att det är Datainspektionen som slutligen avgör om handlingen kan lämnas ut eller inte.