Måste man informera varje person som drabbats av en personuppgiftsincident?

Juristens svar

Det beror på. Till att börja med är det bara vissa personuppgiftsincidenter som överhuvudtaget kräver att man måste informera de registrerade, alltså de vars personuppgifter som incidenten omfattar. De incidenter som registrerade ska informeras om, är incidenter som sannolikt medför en hög risk för enskildas rättigheter och friheter.

Det finns tre undantag som innebär att man inte behöver informera de registrerade, trots att incidenten sannolikt medför en hög risk. Det första undantaget är om man har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och åtgärderna har tillämpats på de personuppgifter som incidenten omfattar. Det kan särskilt vara att personuppgifterna har gjorts oläsbara för obehöriga, till exempel genom kryptering. Om en registrerads uppgifter har varit krypterade, men inte en annans, behöver man fortfarande informera den som inte hade krypterade uppgifter om incidenten. 

Det andra undantaget är att man har vidtagit ytterligare åtgärder som säkerställer att den höga risken sannolikt inte längre kommer uppstå. Det kan till exempel vara om man omedelbart vidtar åtgärder mot någon som har fått tag i personuppgifterna, innan denne har hunnit göra något med dem.

Det tredje undantaget är om det skulle innebära en oproportionerlig ansträngning att informera de registrerade. Det kan till exempel vara om incidenten påverkar ett mycket stort antal personer eller om man inte har kontaktuppgifter till de registrerade. Om man bedömer att det är en oproportionerlig ansträngning, finns det krav på att man istället ska informera allmänheten om incidenten, till exempel via upplysningar på ens webbplats.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 27 jan 2025

Moa Lundgren

Rådgivare, jurist