PERSONUPPGIFTSPOLICY FÖR Bostadsrättsföreningen Hägerstenshamnen nr 4
BAKGRUND
I den verksamhet som Bostadsrättsföreningen Hägerstenshamnen nr 4 (bostadsrättsföreningen) bedriver behandlas diverse personuppgifter. Det är viktigt att all sådan behandling utförs på ett lagligt, korrekt och öppet sätt som inte riskerar att göra intrång i den personliga integriteten hos den vars personuppgifter behandlas.
Denna personuppgiftspolicy (policyn) innehåller regler och riktlinjer för den behandling av personuppgifter som görs av bostadsrättsföreningen i egenskap av personuppgiftsansvarig oavsett vilken typ av personuppgifter det är fråga om och vems personuppgifter det rör.
Syftet med policyn är att öka kunskapen om innehållet i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (GDPR) för att säkerställa att bostadsrättsföreningen, i egenskap av personuppgiftsansvarig, uppfyller sina skyldigheter enligt GDPR. Syftet är även att tillhandahålla de registrerade viktig information om bostadsrättsföreningens personuppgiftshantering.
VAD, VARFÖR OCH HUR LÄNGE BEHANDLAR VI?
Bostadsrättsföreningen samlar in och behandlar personuppgifter inom de områden och funktioner som listas nedan.
I flera fall när vi begär in personuppgifter gör vi det i syfte att uppfylla lagstadgade eller avtalsenliga krav eller när det är nödvändigt för att ingå ett avtal med exempelvis våra medlemmar, förtroendevalda, andrahandshyresgäster, anställda eller leverantörer. I fall den registrerade inte tillhandahåller de uppgifter som vi begär in kan det medföra att vi inte kan ingå ett avtal eller fullgöra våra förpliktelser som vi har enligt lag eller ingångna avtal.
Nedan finner du de områden inom vilka bostadsrättsföreningen behandlar personuppgifter. I anslutning till respektive område anges även ändamålen och den lagliga grunden för behandlingen, vilka som mottar uppgifterna samt lagringsperiod m.m.
MEDLEMMAR
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas är huvudsakligen namn, adress, e-post, telefonnummer, personnummer, civilstånd och familjemedlemmar i hushållet, ekonomisk information så som löneuppgift, bankkonto, kreditupplysningsinformation, insats för bostadsrätt, uppgifter om pantsättning, tidpunkt för inträde och utträde ur bostadsrättsföreningen och uppgifter om lägenheten.
Vissa av de personuppgifter bostadsrättsföreningen behandlar kan utgöra känsliga personuppgifter. Det kan till exempel vara uppgifter som framkommer i anslutning till störnings- eller anmälningsärenden, uppgifter om vårdkontakt, boendeanpassning eller sjukdomstillstånd. Se mer om bostadsrättsföreningens hantering av känsliga uppgifter nedan.
De som kan komma i kontakt med uppgifterna är huvudsakligen bostadsrättsföreningens styrelse, anlitad mäklare, potentiell köpare, fastighetsförvaltare och myndigheter. Vidare är medlemsförteckningen offentlig enligt lag.
För vilka ändamål behandlas personuppgifterna?
Personuppgifterna behandlas för följande ändamål: allmänt administrera medlemsköpet, uppfylla rättsliga skyldigheter att hålla medlemsförteckning och lägenhetsförteckning, hantera störnings- och anmälningsärenden, skötsel av gemensamma utrymmen, administration av lägenhetsnycklar och larm och ekonomisk förvaltning.
Vilken är den lagliga grunden för behandlingen?
Personuppgifter för bostadsrättsföreningens medlemmar behandlas för att uppfylla rättsliga förpliktelser, ingå eller fullgöra avtal med medlemmen, Om en registrerad har lämnat sitt samtycke kan föreningen komma att behandla dennes personuppgifter för ett eller flera ändamål, om föreningen tydligt specificerar vilka dessa ändamål är.
Hur länge lagras uppgifterna?
Bostadsrättsföreningen lagrar inte uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bostadsrättsföreningen genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre behövs. När ett medlemskap upphör finns som utgångspunkt ingen anledning att spara medlemmens personuppgifter. Gallring ska i sådana fall ske snarast möjligt efter att medlemskapet upphört.
Från detta finns dock viktiga undantag. För att uppfylla bostadsrättsföreningens skyldigheter enligt lag behöver den spara vissa uppgifter om medlemmen även under en period efter att medlemskapet upphört. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter avseende beskattning, bokföring eller för att försvara oss vid rättsliga anspråk.
ANDRAHANDSHYRESGÄSTER
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas är huvudsakligen namn, personnummer, adress och telefonnummer, ID-handlingar, ekonomisk information, uppgift om familjemedlemmar i hushållet och ansökningshandlingar.
Vissa av de personuppgifter bostadsrättsföreningen behandlar vid hantering av störnings- eller anmälningsärenden kan utgöra känsliga uppgifter, exempelvis uppgift om sjukdomstillstånd. Se mer om bostadsrättsföreningens hantering av känsliga uppgifter nedan.
De som kan komma i kontakt med uppgifterna är huvudsakligen bostadsrättsföreningens styrelse, fastighetsskötare, låsleverantörer och myndigheter.
För vilka ändamål behandlas personuppgifterna?
Andrahandshyresgästens personuppgifter behandlas för följande ändamål: hantera intresseanmälningar, godkänna och säkerställa lovlig andrahandsuthyrning, fastighetsservice, nyckelbeställning och störnings- eller anmälningsärenden.
Vilken är den lagliga grunden för behandlingen?
Andrahandshyresgästens personuppgifter behandlas för att uppfylla rättsliga förpliktelser, ingå eller fullgöra avtal. Om en hyresgästen har lämnat sitt samtycke kan föreningen komma att behandla dennes personuppgifter för ett eller flera ändamål, om föreningen tydligt specificerar vilka dessa ändamål är.
Hur länge lagras uppgifterna?
Bostadsrättsföreningen lagrar inte uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bostadsrättsföreningen genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre behövs. När hyresförhållandet upphör finns som utgångspunkt ingen anledning att spara den f.d. andrahandshyresgästens personuppgifter. Gallring ska i sådana fall ske snarast möjligt efter hyresförhållandets upphörande.
Från detta finns dock viktiga undantag. För att uppfylla bostadsrättsföreningens skyldigheter enligt lag behöver den spara vissa uppgifter om andrahandshyresgästen även under en period efter hyresförhållandets upphörande. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter avseende beskattning eller bokföring.
KONSULTER
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas är huvudsakligen namn, personnummer, adress, e-postadress, telefonnummer, bankkontonummer, bank- och postgironummer, information om kvalifikationer, underlag för beräkning av arvode, erfarenhet m.m. och information om frånvaro.
De som kan komma i kontakt med uppgifterna är huvudsakligen bostadsrättsföreningens styrelse, extern aktör som administrerar utbetalningar av arvode m.m. och myndigheter.
För vilka ändamål behandlas personuppgifterna?
Konsultens personuppgifter behandlas för följande ändamål: betalning av konsultarvode och andra ersättningar, allmän administration av konsulttjänster, upprätthålla beredskaps- och katastrofplanering, upprätthålla kontrollsystem, upprätthålla frånvarodokumentation för bedömning av konsultarvode, ta beslut om lämpligheten för vissa tjänster och uppdrag, möjliggöra utvärdering och granskning av prestationer och också mer generellt för att säkerställa uppfyllelse av rättsliga skyldigheter.
Vilken är den lagliga grunden för behandlingen?
Konsulters personuppgifter behandlas för att uppfylla rättsliga förpliktelser, ingå eller fullgöra avtal. Om konsulten har lämnat sitt samtycke kan föreningen komma att behandla dennes personuppgifter för ett eller flera ändamål, om föreningen tydligt specificerar vilka dessa ändamål är.
Hur länge lagras personuppgifterna?
Bostadsrättsföreningen lagrar inte uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bostadsrättsföreningen genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs.
Generellt ska personuppgifterna inte bevaras efter det att konsultuppdraget avslutats. Det kan dock vara nödvändigt för bostadsrättsföreningen att spara uppgifterna under en längre period efter att uppdraget upphört för att uppfylla rättsliga skyldigheter avseende beskattning, bokföring eller för att hantera rättsliga krav som kan tänkas riktas mot bostadsrättsföreningen. Lagringsperioden är i dessa fall maximalt 10 år.
FÖRTROENDEVALDA
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas är huvudsakligen namn, adress, e-post, telefonnummer, personnummer, styrelsearvoden, bankuppgifter, yrkesbakgrund och kvalifikationer.
De som kan komma i kontakt med personuppgifterna är huvudsakligen bostadsrättsföreningens styrelse, medlemmar, leverantörer, kunder och myndigheter.
För vilka ändamål behandlas personuppgifterna?
Personuppgifterna behandlas för följande ändamål: valberedning och nominering av styrelseledamöter och suppleanter, betala ut styrelsearvode, för att generellt hantera förtroendeuppdraget, fakturering och bokföring.
Vilken är den lagliga grunden för behandlingen?
Förtroendevaldas personuppgifter behandlas för att uppfylla rättsliga förpliktelser, ingå eller fullgöra avtal med medlemmen. Om den förtroendevalda har lämnat sitt samtycke kan föreningen komma att behandla dennes personuppgifter för ett eller flera ändamål, om föreningen tydligt specificerar vilka dessa ändamål är.
Hur länge lagras uppgifterna?
Bostadsrättsföreningen lagrar inte uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bostadsrättsföreningen genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre behövs. När ett förtroendeuppdrag upphör finns som utgångspunkt ingen anledning att spara den förtroendevaldes personuppgifter. Gallring ska i sådana fall ske snarast möjligt efter att uppdraget upphört. För att hantera bl.a. överlämning gallras personuppgifter för förtroendevalda ett år efter att uppdraget upphört.
Från detta finns dock viktiga undantag. För att uppfylla sina åtaganden enligt lag behöver Bostadsrättsföreningen spara vissa uppgifter om den förtroendevalde även under en period efter att medlemskapet upphört. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter avseende beskattning och bokföring.
KUNDER OCH LEVERANTÖRER
Vilka personuppgifter behandlas och vem är mottagare?
Bostadsrättsföreningen behandlar personuppgifter avseende företrädare för kunder och leverantörer som vi har eller avser att ingå avtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, adress, ekonomisk information och yrkestitel.
De som kan komma i kontakt med uppgifterna är huvudsakligen bostadsrättsföreningens styrelse och myndigheter.
För vilka ändamål behandlas personuppgifterna?
Bostadsrättsföreningen behandlar personuppgifterna för att generellt kunna administrera avtal, hantera fakturor och för att kunna ställa frågor till kunden eller leverantören som bostadsrättsföreningen kan ha avseende de varor eller tjänster som bostadsrättsföreningen köper.
Vilken är den lagliga grunden för behandlingen?
För att kunna ingå och fullgöra avtal med kunder och leverantörer behandlar bostadsrättsföreningen personuppgifter tillhörande personer som är företrädare för kunderna och leverantörerna. Vissa personuppgifter kan också behandlas med stöd av en intresseavvägning eller på grund av att bostadsrättsföreningen har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.
Hur länge lagras personuppgifterna?
Bostadsrättsföreningen lagrar inte uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bostadsrättsföreningen genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs på grund av att avtalsrelationen upphört.
Bostadsrättsföreningen kan dock behöva lagra personuppgifterna efter det att avtalsrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister, hantera krav som kan tänkas riktas mot bostadsrättsföreningen, för att säkerställa uppfyllelse av rättsliga skyldigheter, exempelvis avseende beskattning eller bokföring.
SÄRSKILT OM KÄNSLIGA UPPGIFTER
Med känsliga uppgifter avses i policyn sådana personuppgifter som avslöjar etniskt ursprung, personliga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Bostadsrättsföreningen kan t.ex. behöva behandla känsliga personuppgifter i anslutning till störnings- och anmälningsärenden och bostadsanpassningar.
Bostadsrättsföreningen behandlar inte känsliga uppgifter utan samtycke från den registrerade eller utan att det föreligger sådant stöd som framgår av artikel 9 GDPR. Behandlingen ska då vara nödvändig för att t.ex.:
– fullgöra skyldigheter eller utöva särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd,
– skydda den registrerades eller annans grundläggande intressen när registrerad är fysiskt eller rättsligt förhindrad att ge samtycke, eller
– göra gällande eller försvara rättsliga anspråk.
Vid varje behandling av känsliga uppgifter vidtar bostadsrättsföreningen lämpliga säkerhetsåtgärder för att skydda uppgifterna. Personuppgifter är inte tillgängliga för fler personer än vad som är nödvändigt.
HUR BEHANDLAR VI PERSONUPPGIFTER?
ALLMÄNT
När bostadsrättsföreningen samlar in, behandlar och lagrar personuppgifter ska det i varje fall ske på ett lagligt, korrekt, öppet och ändamålsenligt sätt och endast i den mån bostadsrättsföreningen bedömer det nödvändigt. Bostadsrättsföreningen ska genomgående behandla personuppgifter på ett sätt som undviker att kränka den registrerades personliga integritet. I samtliga fall av personuppgiftsbehandling är bostadsrättsföreningen mycket noga med att personuppgifterna skyddas av lämpliga säkerhetsåtgärder.
Bostadsrättsföreningen kan behandla personuppgifter antingen genom att själv samla in och behandla uppgifterna självständigt och för egen räkning eller, i undantagsfall, på uppdrag av andra bolag. Bostadsrättsföreningen kan därmed agera dels som personuppgiftsansvarig men även i vissa fall som personuppgiftsbiträde. I vissa fall är bostadsrättsföreningen gemensamt personuppgiftsansvarig med en annan aktör.
I flera fall när bostadsföreningen begär in personuppgifter gör föreningen det, som nämnts ovan, i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med en medlem, styrelseledamot, andrahandshyresgäst, anställd eller en leverantör. I fall den registrerade inte tillhandahåller de uppgifter som bostadsrättsföreningen begär kan det i vissa fall medföra att föreningen inte kan ingå ett avtal eller fullgöra sina förpliktelser i ett avtal med den registrerade. Om den registrerade känner tveksamhet eller oro för att lämna en viss personuppgift kan denne kontakta bostadsrättsföreningen (se nedan under Kontaktuppgifter), varefter föreningen kan ge den registrerade ytterligare information.
UTLÄMNING AV UPPGIFTER TILL EXTERN PART
Bostadsrättsföreningen kan, från tid till annan, behöva överlämna information till relevant tredje man (inklusive, men inte begränsat till, situationer där vi har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att dina personuppgifter behandlas på ett tryggt och säkert sätt har bostadsrättsföreningen som rutin att upprätta avtal (biträdesavtal eller dylikt) med varje extern part som behandlar personuppgifter för bostadsrättsföreningens räkning. I sådana avtal anges alltid föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt våra skyldigheter och rättigheter som personuppgiftsansvarig. Vidare ger bostadsrättsföreningen alltid dokumenterade instruktioner till personuppgiftsbiträdet som personuppgiftsbiträdet är skyldig att följa.
DEN REGISTRERADES RÄTTIGHETER
RÄTT TILL TILLGÅNG
Den registrerade har rätt att vända sig till bostadsrättsföreningen i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som bostadsrättsföreningen behandlar och även informeras om bland annat ändamålen med behandlingen och vilka som mottagit personuppgifterna.
Bostadsrättsföreningen ska i egenskap av personuppgiftsansvarig förse den registrerade med kostnadsfri kopia på de personuppgifter som behandlas. Vid eventuella extra kopior kan bostadsrättsföreningen komma att ta ut en administrationsavgift.
RÄTT TILL RÄTTELSE, RADERING ELLER BEGRÄNSNING
Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter rättade eller, under vissa förutsättningar, begränsade eller raderade. Om den registrerade anser att bostadsrättsföreningen behandlar personuppgifter om denne som är felaktiga eller ofullständiga kan den registrerade kräva att få dessa rättade eller kompletterade.
Den registrerade har även rätt att få sina uppgifter raderade, bland annat när de inte längre är nödvändiga eller om behandlingen baseras på samtycke och detta har återkallats.
Om den registrerade begär att få uppgifterna rättade, raderade eller begränsade i behandling har bostadsrättsföreningen i egenskap av personuppgiftsansvarig som rutin att med rimlig ansträngning underrätta varje mottagare av personuppgifterna om den registrerades begäran.
RÄTT ATT INVÄNDA
Den registrerade har rätt att när som helst invända mot behandling av dennes personuppgifter om föreningen behandlar dessa efter en intresseavvägning enligt artikel 6.1 (f) GDPR.
Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.
RÄTT TILL DATAPORTABILITET
Den registrerade har rätt till att få ut de personuppgifter som denne tillhandahållit den personuppgiftsansvarige och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förutsättning att det
(a) är tekniskt möjligt och
(b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.
RÄTT ATT ÅTERKALLA SAMTYCKE
Om personuppgiftsbehandlingen grundar sig på den registrerades samtycke har denne rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.
RÄTT ATT INGE KLAGOMÅL TILL IMY
Den registrerade har rätt att rikta klagomål till Integritetsskyddsmyndigheten (IMY).
Kontaktuppgifter
Telefonnummer: 08-657 61 00
Hemsida: www.imy.se
E-postadress: imy@imy.se
KONTAKTUPPGIFTER
Vid frågor om policyn eller vid andra önskemål avseende personuppgifter, vänligen kontakta bostadsrättsföreningen enligt nedan.
Kontaktuppgifter
Namn: Mattias Ahlstedt
E-postadress: styrelsen@hagerstenshamnen4.se
ÄNDRINGAR AV POLICYN
Bostadsrättsföreningen förbehåller sig rätten att ändra och uppdatera policyn. Vid materiella ändringar i policyn eller om befintlig information ska behandlas på annat sätt än vad som anges i policyn, kommer bostadsrättsföreningen att informera om detta
RUTINER FÖR INCIDENTRAPPORTERING
För att efterleva Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (GDPR) har Bostadsrättsföreningen Hägerstenshamnen nr 4 (bostadsrättsföreningen) följande rutiner för att upptäcka, rapportera och utreda personuppgiftsincidenter.
ALLMÄNNA KRAV
Enligt GDPR ska den personuppgiftsansvarige anmäla en personuppgiftsincident till Integritetsskyddsmyndigheten (IMY). Det ska ske utan onödigt dröjsmål och inte senare än 72 timmar efter att den personuppgiftsansvarige har fått vetskap om personuppgiftsincidenten. Detta gäller dock inte om det är osannolikt att personuppgiftsincidenten medför risk för enskildas rättigheter och friheter.
VAD ÄR EN PERSONUPPGIFTSINCIDENT?
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en säkerhetsincident som leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
Olaglig förstöring – innebär att personuppgifter förstörts eller inte längre existerar i ett format som kan användas av personuppgiftsansvarige.
Förlust – innebär att personuppgifter fortfarande kan existera, men att den personuppgiftsansvarige har förlorat kontrollen eller åtkomsten till personuppgifterna, eller att personuppgifterna inte längre är i personuppgiftsansvariges besittning.
Olaglig eller obehörig behandling – innebär att det kan innefatta utlämnande av personuppgifter till (eller åtkomst av) mottagare som inte är behöriga att ta emot (eller få tillgång till) uppgifterna, eller annan behandling som strider mot GDPR. Generellt ska personuppgiftsansvarig dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Se nedan vad som bör göras vid en personuppgiftsincident.
VAD SKA GÖRAS VID EN PERSONUPPGIFTSINCIDENT?
- Anteckna datum och tid för när personuppgiftsincidenten upptäcktes.
- Gör en utredning av personuppgiftsincidenten – För löpande anteckningar om hanteringen av incidenten och datera anteckningarna.
- Vidta lämpliga åtgärder – Informera de som är ansvariga för personuppgiftsfrågor i bostadsrättsföreningen. Fördela vem som ska hantera vad. I de undantagsfall när bostadsrättsföreningen är personuppgiftsbiträde: se till att personuppgiftsansvarig underrättas utan onödigt dröjsmål efter att ni har fått vetskap om en personuppgiftsincident.
- Bedöm om det är osannolikt att personuppgiftsincidenten medför risk för fysiska personers rättigheter och friheter. Informera de berörda registrerade utan onödigt dröjsmål om personuppgiftsincidenten kan leda till en hög risk för deras rättigheter och friheter. Vem i verksamheten som informerar den registrerade bör diskuteras för att kunna hantera incidenten på bästa sätt för den registrerade. Om det är osannolikt att personuppgiftsincidenten medför risk för enskildas rättigheter och friheter behöver bostadsrättsföreningen inte kontakta IMY. Bedömning av risken innebär att den personuppgiftsansvarige ska bedöma en kombination av i) hur allvarligt den potentiella påverkan är för individens rättigheter och friheter och ii) sannolikheten att det inträffar. Det innebär att om konsekvenserna är stora innebär det att risken är högre. Nedan beskrivs faktorer som ska tas i beaktande när den potentiella påverkan bedöms:
- Typ av överträdelse
Vilken typ av överträdelse som har inträffat kan påverka vilken risk som inträffar för individen. Om det föreligger känsliga personuppgifter, är det sannolikt högre risk för individens rättigheter och friheter om uppgifterna har läckts till obehöriga jämfört med om uppgifterna förstörts.
- Karaktär, känslighet och volym av personuppgifter
Känsligheten av personuppgifter påverkar risker för individens rättigheter och friheter. Till exempel är namn och adresser ofta offentlig information och anses ofta inte som känslig karaktär, men skulle en individ ha skyddade personuppgifter skulle risken för påverkan av individens rättigheter och friheter anses hög. Om en mängd information om individen hamnar i obehörigas händer kan t.ex. kapning av identiteten inträffa.
- Enkelhet att identifiera individer
Avser hur enkelt motparter som obehörigt har fått tillgång till personuppgifterna kan identifiera enskilda individer. Identifikation kan i vissa fall göras på direkten medan i andra fall kan det vara svårare eftersom data är skyddat med krypteringsnycklar eller pseudonymisering.
- Konsekvenser för individen
Skadorna för individen beror bl.a. på vilka personuppgifter som förekommer i överträdelsen och vilka konsekvenser som inträffar. Konsekvenserna anses större om individen t.ex. utsatts för identifikationsstöld, bedrägeri, psykologisk stress, förnedring eller skada av sitt rykte.
- Individen
Hänsyn bör tas till om personuppgifterna är kopplade till barn eller andra utsatta personer, vilket kan innebära en högre risk för individen.
- Personuppgiftsansvarige
Den personuppgiftsansvariges typ av inriktning och aktiviteter kan påverka nivån av risken.
- Antal individer
Antalet individer som påverkas av överträdelsen. Generellt anses det vara en större risk om många individer påverkas än få. Men beroende på typ av personuppgifter kan även överträdelse som är kopplat till få individer innebära en hög risk för individens rättigheter och friheter. Om det inte är osannolikt att personuppgiftsincidenten medför risk för enskildas rättigheter och friheter, ska incidenten anmälas till IMY så snart som möjligt, dock inte senare än 72 timmar från att vi fått vetskap om incidenten. Anmälan ska helst ske vid ett tillfälle, men om nödvändigt vid flera tillfällen.
Anmälan om personuppgiftsincident görs via IMY:s e-tjänst.
Följande information ska rapporteras till IMY (denna information kan ändras över tid, vänligen verifiera på myndighetens hemsida):
Personuppgiftsansvarig
- Organisationens namn, kontaktuppgifter
- Namn på personuppgiftsbiträden, underbiträden
Kontaktperson för anmälan
- Kontaktuppgifter till den person som IMY kan kontakta
Personuppgiftsincidenten
- Har personuppgiftsincidenten medfört en risk för de registrerades fri- och rättigheter?
- När inträffade personuppgiftsincidenten?
- När upptäckte ni personuppgiftsincidenten?
- Vad har hänt vid personuppgiftsincidenten?
- Hur upptäckte ni personuppgiftsincidenten?
- Varför inträffade personuppgiftsincidenten enligt din eller organisationens uppfattning?
- Inom vilket verksamhetsområde inträffade personuppgiftsincidenten?
Personuppgifterna och de registrerade
- Hur många registrerade har påverkats?
- Hur många personuppgiftsposter har personuppgiftsincidenten påverkat?
- Vilka grupper tillhör de registrerade?
- Vilken sorts personuppgifter berörs av personuppgiftsincidenten?
- Var personuppgifterna krypterade?
Konsekvenser
- Vad kan bli konsekvenserna av personuppgiftsincidenten?
- Hur allvarlig bedömer ni att personuppgiftsincidenten är? Information till de registrerade
- Har ni informerat de registrerade om personuppgiftsincidenten? När?
- Kommer ni att informera de registrerade? När? Om inte, varför kommer ni inte att informera de registrerade? Sen anmälan
- Om anmälan kommer in senare än 72 timmar efter att ni upptäckte personuppgiftsincidenten ska ni beskriva varför.
Komplettering
• Om ni kommer att komplettera anmälan, beskriv varför.