Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste man dokumentera incidenten och i de fall incidenten sannolikt leder till en risk för de registrerade, anmäla den till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att institutioner/motsvarande som behandlar personuppgifter har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. 

Dataskyddsombudet (dso@su.se) ska hållas informerad om personuppgiftsincidenten och stöttar vid behov. På Integritetsmyndighetens hemsida kan du läsa mer om vad en personuppgiftsincident är och när en incident ska anmälas till IMY.