Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som påverkar personuppgifter på något sätt. Om ett intrång inträffar måste den personuppgiftsansvarig göra vissa saker. Beroende på hur allvarlig överträdelsen är måste den personuppgiftsansvarig agera på olika sätt. Detta innebär att ett personuppgiftsbiträde alltid ska rapportera en överträdelse till den personuppgiftsansvarig

Lästid: 1,5 minuter.

Vad innebär en personuppgiftsincident?

En personuppgiftsincident kan äventyra den registrerades fri- och rättigheter. Detta kan inkludera fysiska, materiella eller icke-materiella risker. Exempel är identitetsstöld, bedrägeri och annan ekonomisk förlust. Andra fall är skadat anseende eller social missgynnande.

När ska det rapporteras, och till vem?

När det är osannolikt att överträdelsen kommer att leda till risker är rapportering inte nödvändig. Men om det är troligt måste överträdelsen rapporteras.

I de fall där det är troligt att överträdelsen kommer att leda till höga risker måste du rapportera överträdelsen. I ett sådant fall behöver personuppgiftsansvarigockså informera berörda individer. Den information som ges till enskilda personer måste omfatta de potentiella konsekvenserna av överträdelsen. Information om vad som görs för att minimera de efterföljande riskerna behövs också.

Advertisement

Guide till 9 avtal som alla företag bör ha

 

www.juridiskvagledning.se/startupavtal-intro


Ibland kan tillsynsmyndigheten instruera den personuppgiftsansvarigatt informera de registrerade. Sådana instruktioner kan också innefatta att berätta för dem hur de ska berätta för de registrerade.

Företag och organisationer måste rapportera dataintrånget till den berörda tillsynsmyndigheten inom 72 timmar. 72-timmarsregeln infördes med GDPR. Klockan börjar räkna ner efter att den personuppgiftsansvarig har fått kännedom om överträdelsen, vilket betyder att man kan bedöma att det rör personuppgifter och att dessa har äventyrats.

Vad ska rapporten innehålla?

Följande är exempel på vad rapporten till tillsynsmyndigheten behöver innehålla:

  • En beskrivning av personuppgiftsincidentens art.
  • kontaktuppgifter till dataskyddsombudet eller andra relevanta personer;
  • de sannolika konsekvenserna av personuppgiftsincidenten; och
  • vilka åtgärder som har vidtagits eller föreslagits för att lösa personuppgiftsincidenten.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here