Anmälan av dataintrång

En anmälan av dataintrång är ett rättsligt krav att informera tillsynsmyndigheter och, i vissa fall, berörda personer när personuppgifter har äventyrats genom ett säkerhetsintrång. Enligt GDPR måste personuppgiftsansvariga anmäla till sin tillsynsmyndighet inom 72 timmar efter att ha blivit medvetna om ett intrång som utgör en risk för människors rättigheter och friheter, och direkt underrätta berörda personer om intrånget medför en hög risk.

Rättslig grund

"I händelse av ett personuppgiftsbrott ska den personuppgiftsansvarige utan onödigt dröjsmål och, om möjligt, senast 72 timmar efter att ha fått kännedom om personuppgiftsbrottet, anmäla detta till den behöriga tillsynsmyndigheten i enlighet med artikel 55, såvida inte personuppgiftsbrottet sannolikt inte utgör en risk för fysiska personers rättigheter och friheter."

— Artikel 33.1, förordning (EU) 2016/679 (GDPR)

"Om personuppgiftsbrottet sannolikt medför en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsbrottet."

— Artikel 34.1, förordning (EU) 2016/679 (GDPR)

Varför det spelar roll

Skyldigheter avseende anmälan av dataintrång påverkar alla organisationer som behandlar personuppgifter i samband med tjänster för politisk annonsering. För sponsorer, utgivare och tillhandahållare av tjänster för politisk annonsering enligt förordning 2024/900 innebär detta att obehörig åtkomst till, förlust av eller ändring av personuppgifter som används för målgruppsanpassning eller annonsvisning omedelbart måste anmälas till relevant dataskyddsmyndighet.

Tidsfönstret på 72 timmar är strängt och börjar från det att organisationen blir medveten om intrånget, inte när de har avslutat sin utredning. Organisationer måste ha interna processer för att upptäcka, utreda och rapportera intrång snabbt. Underlåtenhet att anmäla kan resultera i böter på upp till 10 miljoner euro eller 2 % av global årsomsättning enligt GDPR.

För politisk annonsering specifikt är intrång som involverar målgruppsdata, väljaruppgifter eller politiska preferenser särskilt känsliga. Dessa intrång kan utsätta individer för manipulation, diskriminering eller vedergällning, vilket gör snabb anmälan kritisk för att skydda demokratiska processer och individuella rättigheter.

Viktiga punkter

Personuppgiftsansvariga måste anmäla till sin tillsynsmyndighet inom 72 timmar efter att ha blivit medvetna om ett intrång, såvida inte intrånget sannolikt inte riskerar individers rättigheter och friheter
Om intrånget medför en hög risk för individer måste de underrättas direkt utan onödigt dröjsmål
Anmälningar måste beskriva intrångets karaktär, kategorierna och det ungefärliga antalet berörda individer och register samt de åtgärder som vidtagits för att hantera det
Personuppgiftsbiträden måste omedelbart underrätta personuppgiftsansvariga när de upptäcker ett intrång så att de personuppgiftsansvariga kan uppfylla sina egna anmälningsfrister
Organisationer bör föra dokumentation över alla intrång, inklusive de som inte anmälts, för att visa efterlevnad
Sanktioner för underlåtenhet att anmäla kan uppgå till 10 miljoner euro eller 2 % av global årsomsättning, beroende på vilket som är högst

Anmälan av dataintrång kontra Öppenhetsinformation

Även om båda involverar informationsskyldigheter tjänar anmälan av dataintrång och öppenhetsinformation olika syften. En anmälan av dataintrång är ett reaktivt, incidentdrivet krav som utlöses när personuppgiftssäkerheten äventyras. Den måste levereras till tillsynsmyndigheter inom 72 timmar och till berörda personer när hög risk föreligger.

En öppenhetsinformation (såsom den integritetsinformation som krävs enligt artikel 13-14 GDPR eller öppenhetsinformationen för politisk annonsering enligt förordning 2024/900) är en proaktiv, pågående skyldighet att informera individer om hur deras uppgifter behandlas före eller vid tidpunkten för insamling. Öppenhetsinformation är förebyggande och informativ; anmälningar av intrång är avhjälpande och brådskande.

Aspekt	Anmälan av dataintrång	Öppenhetsinformation
Utlösande faktor	Säkerhetsincident	Datainsamling/behandling
Tidpunkt	72 timmar (till myndighet)	Före/vid insamling
Målgrupp	Myndighet + berörda personer	Alla registrerade
Syfte	Incidenthantering	Pågående öppenhet

Relaterade termer

Personuppgifter
Dataskyddsmyndighet
Personuppgiftsansvarig
Personuppgiftsbiträde
GDPR-efterlevnad
Målgruppstekniker
Säkerhetsåtgärder
Tillsynsmyndighet
Integritetsinformation
Registrerades rättigheter

Krav på transparens säkerställer att alla politiska aktörer verkar enligt samma regler. Väljare kan se vem som har resurser och hur de används, vilket stödjer rättvis konkurrens.

Öppenhet skapar förtroende genom att visa väljarna att politiska aktörer agerar öppet. Dold finansiering eller målgruppsanpassning urholkar förtroendet för demokratiska processer.

Genom att kräva tydlig märkning och tillgänglig transparensinformation hjälper TTPA människor att känna igen politisk annonsering och förstå vem som försöker påverka dem.

Unga personer kan ännu inte rösta men kan riktas till för att påverka framtida beteende eller manipulera familjemedlemmar. Förbudet skyddar minderåriga från politisk exploatering.

Politisk reklam omfattar alla betalda budskap som marknadsför en politisk aktör, påverkar röstningsbeteende, påverkar utgången av val eller folkomröstningar, eller påverkar lagstiftnings- eller regleringsprocesser. Det inkluderar även all reklam från eller på uppdrag av en politisk aktör.

Nej. TTPA påverkar inte nationella regler om innehållet i politiska annonser, kampanjfinansiering, valperioder eller generella förbud mot politisk reklam. Den lägger till transparenskrav utöver befintliga nationella lagar.

Det officiella namnet är Europaparlamentets och rådets förordning (EU) 2024/900 om öppenhet och inriktning av politisk reklam. Den publicerades den 20 mars 2024.

Ja. TTPA omfattar all politisk reklam, oavsett om den är online eller offline, inklusive tryckta medier, digitala skyltar, TV, radio och digitala kanaler. Inriktningsreglerna i kapitel III gäller endast för onlinereklam.