Integritetspolicy/Rutin vid personuppgiftsincident

Från Wikimedia
Hoppa till navigering Hoppa till sök
  Integritetspolicy     Dataskyddsförordningen     Definitioner     Personuppgiftsbiträdesavtal     Registerförteckning
och rensningsrutiner
    Personuppgiftsincidenter     Bilagor    
  Rutin vid personuppgiftsincident     Incidentrapporter    

Rutin vid personuppgiftsincident beskriver hur Wikimedia Sverige hanterar personuppgiftsincidenter i enlighet med Dataskyddsförordningen.

Bakgrund

Enligt Dataskyddsförordningen gäller följande i händelse av personuppgiftsincident:

Artikel 33 Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3. Den anmälan som avses i punkt 1 ska åtminstone

a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34 Information till den registrerade om en personuppgiftsincident

1. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2. Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c och d.

3. Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Definition av personuppgiftsincident

Enligt Dataskyddsförordningen artikel 4 Definitioner, gäller följande definition: 12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Rutin

  • I händelse av personuppgiftsincident, vilken upptäcks av personuppgiftsbiträdet:
    • skall rapportering ske till personuppgiftsansvarige (Wikimedia Sverige) på överenskommet sätt,
    • skall personuppgiftsansvarige säkerställa att personuppgiftsbiträdet lämnar uppgifter om personuppgiftsincidentens art och omfattning, samt vilka åtgärder som vidtagits.
  • I händelse av personuppgiftsincident, vilken upptäcks av personuppgiftsansvarige:
    • skall det system som läckt säkras och eventuellt stängas ner tillfälligt,
    • skall personuppgiftsincidentens art och omfattning fastställas.
  • Fyll i incidentrapport enligt mall nedan.
  • Bedöm om personuppgiftsincidenten utgör risk för fysiska personers rättigheter och friheter.
  • Om personuppgiftsincidenten utgör risk för fysiska personers rättigheter och friheter skall följande rapportering göras:
    • Informera styrelsen via mejllistan.
    • Informera den registrerade.
    • Informera Datainspektionen inom 72 timmar. Görs via e-tjänst, som blir tillgänglig under 2018. Dessförinnan görs anmälan via blankett, som finns tillgänglig som PDF hos Datainspektionen.

Incidentrapport

Vid personuppgiftsincident skall följande incidentrapport fyllas i:

Incidentrapport: <benämning>
Datum och tid då incidenten upptäcktes
Beskrivning av incidenten
Beskrivning av vidtagna, eller föreslagna åtgärder, för att åtgärda, eller mildra effekterna av incidenten
Involverade detta personuppgifter (Ja/Nej)
Om personuppgifter berörs
Datum och tid då incidenten kom till personuppgiftsansvariges kännedom
Beskrivning av vilka som är berörda
Antal registrerade som berörs
Kategori av personuppgifter som berörs
Antal berörda personuppgiftsposter
Beskrivning av sannolika konsekvenserna av personuppgiftsincidenten
Utgör personuppgiftsincidenten risk för fysiska personers rättigheter och friheter? (Ja/Nej)
Datum och tid då registrerad informerades om incidenten
Datum och tid då Datainspektionen informerades om incidenten
Internt referensnr. kommunicerat till Datainspektionen
Diarienummer hos Datainspektionen
Namn och kontaktuppgifter för personuppgiftsombud

Externa länkar