Vid personuppgiftsincidenter tillämpas EU:s allmänna dataskyddsförordning (eur-lex.europa.eu)och dataombudsmannens anvisningar (tietosuoja.fi).
Det lönar sig att gå igenom dessa samt tjänstetillhandahållarens och apotekens egna dataskyddsanvisningar och öva på att följa dem. Det främjar utredningen av personuppgiftsincidenten inom utsatt tid.
Med personuppgiftsincident avses en händelse som leder till att personuppgifter till exempel
- förstörs, försvinner eller ändras i strid mot lagen
- olovligen överlåts eller
- hamnar i händerna på en aktör som saknar rätt att behandla dem
Vid utredningen av en misstanke om personuppgiftsincident bedöms incidentens konsekvenser för den registrerade vars uppgifter kränks.
Hur ska man agera i den egna organisationen?
Beroende på situationen är tjänstetillhandahållaren, apoteket eller Kelains användare antingen personuppgiftsansvarig, gemensam personuppgiftsansvarig eller personuppgiftsbiträde.
Om en representant för tjänstetillhandahållaren eller apoteket misstänker eller upptäcker en personuppgiftsincident i sin organisations verksamhet, inleds utredningen genom att meddela om observationen till en aktör som organisationen utsett, till exempel till dataskyddsombudet, som inleder nödvändiga åtgärder för att utreda upptäckten och bedöma incidentens konsekvenser.
Om tjänstetillhandahållaren eller apoteket är gemensam personuppgiftsansvarig och incidenten har uppstått i dess verksamhet, ansvarar tjänstetillhandahållaren eller apoteket för att anmälan om incidenten görs till tillsynsmyndigheten och vid behov till de registrerade. Mer information om den gemensamma personuppgiftsansvariges ansvar och anmälningsskyldighet i samband med personuppgiftsincidenter finns i bilagan till förbindelsen angående kundrelationer till Kanta-tjänsterna: Beskrivning av det gemensamma personuppgiftsansvaret för tjänster i anslutning till Kanta-tjänsterna (pdf).
Om användaren av Kelain är gemensam personuppgiftsansvarig och misstänker eller upptäcker en personuppgiftsincident i Kelains verksamhet ska han eller hon omedelbart kontakta FPA. Anvisningar om uppgifter och ansvar i anslutning till utredning av personuppgiftsincidenter finns i Användningsvillkor för tjänsten Kelain (pdf).
Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om personuppgiftsincidenter. Den personuppgiftsansvarige ansvarar för att inom 72 timmar anmäla personuppgiftsincidenter till dataombudsmannen och vid behov till de registrerade.
När ska man kontakta FPA:s tekniska stöd?
Tjänstetillhandahållaren, apoteket eller användaren av Kelain ska utan dröjsmål kontakta FPA:s tekniska stöd om upptäckten eller misstanken om personuppgiftsincidenten gäller Kanta-tjänstens verksamhet.
Kontaktuppgifter till FPA:s tekniska stöd:
- e-post tekninentuki@kanta.fi
- telefon 020 634 7787.
Nämn åtminstone följande uppgifter då du tar kontakt
- beskrivning av misstanken eller upptäckten
- vilka uppgifter som berörs av incidenten
- datum, klockslag och plats för misstanken eller upptäckten,
- en så detaljerad beskrivning som möjligt av situationen och vilka åtgärder som tagits för att rätta till situationen.