En personuppgiftsincident är en säkerhetsincident som påverkar personuppgifter på något sätt. Om ett intrång inträffar måste den personuppgiftsansvarig göra vissa saker. Beroende på hur allvarlig överträdelsen är måste den personuppgiftsansvarig agera på olika sätt. Detta innebär att ett personuppgiftsbiträde alltid ska rapportera en överträdelse till den personuppgiftsansvarig
Lästid: 1,5 minuter.
Vad innebär en personuppgiftsincident?
En personuppgiftsincident kan äventyra den registrerades fri- och rättigheter. Detta kan inkludera fysiska, materiella eller icke-materiella risker. Exempel är identitetsstöld, bedrägeri och annan ekonomisk förlust. Andra fall är skadat anseende eller social missgynnande.
När ska det rapporteras, och till vem?
När det är osannolikt att överträdelsen kommer att leda till risker är rapportering inte nödvändig. Men om det är troligt måste överträdelsen rapporteras.
I de fall där det är troligt att överträdelsen kommer att leda till höga risker måste du rapportera överträdelsen. I ett sådant fall behöver personuppgiftsansvarigockså informera berörda individer. Den information som ges till enskilda personer måste omfatta de potentiella konsekvenserna av överträdelsen. Information om vad som görs för att minimera de efterföljande riskerna behövs också.
Sharp Cookie Advisors
Vi söker juridikstudenter som är intresserade av att få stå i fronten av utveckling och få vara delaktigt i utvecklingen av vår tids juristbyrå Sharp Cookie Advisors.
Ibland kan tillsynsmyndigheten instruera den personuppgiftsansvarigatt informera de registrerade. Sådana instruktioner kan också innefatta att berätta för dem hur de ska berätta för de registrerade.
Företag och organisationer måste rapportera dataintrånget till den berörda tillsynsmyndigheten inom 72 timmar. 72-timmarsregeln infördes med GDPR. Klockan börjar räkna ner efter att den personuppgiftsansvarig har fått kännedom om överträdelsen, vilket betyder att man kan bedöma att det rör personuppgifter och att dessa har äventyrats.
Vad ska rapporten innehålla?
Följande är exempel på vad rapporten till tillsynsmyndigheten behöver innehålla:
- En beskrivning av personuppgiftsincidentens art.
- kontaktuppgifter till dataskyddsombudet eller andra relevanta personer;
- de sannolika konsekvenserna av personuppgiftsincidenten; och
- vilka åtgärder som har vidtagits eller föreslagits för att lösa personuppgiftsincidenten.