Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsrisk som påverkar personuppgifter på något sätt. Om en incident sker, måste den personuppgiftsansvarige vidta vissa åtgärder. Beroende på incidentens allvar måste den personuppgiftsansvarige agera på olika sätt. Det betyder att personuppgiftsbiträden alltid bör rapportera en incident till den personuppgiftsansvarige.

Lästid: 1,5 minuter.

Vad innebär en personuppgiftsincident?

En personuppgiftsincident kan riskera den registrerades rättigheter och friheter. Det kan inkludera risk för fysiska, materiella eller immateriella skador. Exempel är identitetsstöld, bedrägeri och annan ekonomisk förlust. Andra typfall inkluderar risker för att skada anseendet eller annan social nackdel.

När måste det rapporteras, och till vem?

När det inte är troligt att incidenten leder till risker, är inte rapportering nödvändigt. Om det däremot är troligt måste incidenten rapporteras.

I fall där det är troligt att incidenten leder till höga risker, måste incidenten rapporteras. I ett sådant fall måste personuppgiftsansvarig även informera de berörda registrerade. Informationen som ges till de registrerade måste inkludera de potentiella konsekvenser en incident kan leda till. Information om vad som görs för att minimera riskerna måste också anges.

I vissa fall kan tillsynsmyndigheten instruera en personuppgiftsansvarig att informera de registrerade. Sådana instruktioner kan även inkludera hur informationen ska ges till de registrerade.

Företag och organisationer måste rapportera personuppgiftsincidenten till relevant tillsynsmyndigheten inom 72 timmar. 72-timmarsregeln har nyligen introducerats i GDPR. Tiden räknas från och med att den personuppgiftsansvarige har blivit medveten om incidenten.

Vad ska rapporten innehålla?

Några exempel på vad rapporten till tillsynsmyndigheten måste innehålla är

  • en beskrivning av incidentens karaktär,
  • kontaktinformation till dataskyddsombudet eller andra relevanta individer,
  • de mest troliga konsekvenserna av personuppgiftsincidenten, och
  • vilka åtgärder som har vidtagits eller kommer att vidtas för att lösa personuppgiftsincidenten.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here