Tillbaka till huvudmeny

Vad är en personuppgiftsincident?

När enskilda personer har utsatts för en risk i form av att deras personuppgifter har äventyrats på något sätt, kan det vara fråga om en personuppgiftsincident – som i en del fall bör anmälas. Men vad är egentligen en personuppgiftsincident?

En personuppgiftsincident innebär att personuppgifterna till en eller flera personer har utsatts för risk i samband med en säkerhetsincident av något slag. Detta gäller oavsett om det har skett avsiktligt eller av misstag. En personuppgiftsincident kan vara: 

  • oavsiktlig eller olaglig förstöring
  • förlust eller ändring,
  • obehörigt röjande,
  • obehörig åtkomst,

av personuppgifter som behandlats. Det måste alltså vara personuppgifter inblandade för att det ska räknas som en personuppgiftsincident.

Tre exempel på personuppgiftsincidenter

  1. När en anställd har skickat personuppgifter till en mottagare som inte skulle ha uppgifterna.
  2. Phishing-attacker, där någon blir lurad att lämna ut personuppgifter som kan
    användas till bedrägerier.
  3. Om en mobiltelefon som innehåller personuppgifter förloras när en anställd glömmer den på bussen.

Vill du lära dig mer om personuppiftsincidenter och hur ni kan hantera dem? Ladda ner vårt faktablad på ämnet!

Ladda ner faktabladet

Felaktiga mailutskick – en vanlig personuppgiftsincident

Ungefär en tredjedel av de anmälda incidenterna är felaktiga brev- och mailutskick med personuppgifter som oavsiktligt hamnat hos fel mottagare. Låt oss titta på ett exempel och hur ni ska agera med hjälp av en av våra experter: 

En enhetschef har skickat ett mail till 80 chefer, som var felaktiga mottagare inom organisationen. Mailet innehöll information om att en namngiven person har sagt upp sig och en frågeställning om en annan i mejlet namngiven person ska ha förtur till tjänsten. Är detta föremål för en incidentrapport?

Experten svarar:

Ja, detta är ett typiskt exempel på en incident som vi bedömer bör rapporteras till tillsynsmyndigheten enligt artikel 33 i GDPR. Detta eftersom det ”inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.” Det kan ju uppfattas som väldigt integritetskränkande att få sådana uppgifter spridda till ett så stort antal personer.

Framtida praxis kommer förhoppningsvis att ge mer vägledning om gränsdragningar i frågan om exakt vilka slags incidenter som ska anmälas och inte, men generellt gäller att det vid osäkerhet är bättre att anmäla än att inte göra det. Så har vi också förstått att tillsynsmyndigheterna resonerar.

Personuppgiftsincidentens konsekvenser är relevanta

Det relevanta när en incident har skett är inte bara hur den har uppkommit utan först och främst vad den innebär för konsekvenser. Om det inte är osannolikt att incidenten kan innebära en risk för de individer vars personuppgifter påverkas ska den anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Tänk på att dessutom informera de registrerade personerna om det innebär en hög risk för deras fri- och rättigheter i samband med att deras personuppgifter har äventyrats. 


För att hantera personuppgiftsincidenter på ett enkelt och smidigt sätt kan ni ta hjälp av ett verktyg – där kan ni utreda eventuella incidenter direkt.

Mest populära

  • Kan arbetsgivare betala ut pengar istället för semester?

    När semesteråret når sitt slut, och de anställda har semesterdagar kvar, vad kan du som arbetsgivare göra? Kan du betala ut pengar istället för att ge medarbetaren semester? Det är en vanlig fråga, och svaret finns i semesterlagen.

  • Det här innebär nya LAS för offentlig sektor

    Nyligen lade regeringen en proposition på en lagförändring rörande arbetsrätten, kallat nya LAS. Den nya lagen förväntas träda i kraft den 30 juni 2022 och börja tillämpas den 1 oktober 2022.

  • Räknas restid som arbetstid?

    Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.