Personuppgiftsincident
Gränsöverskridande personuppgiftsincidenter
I vissa fall kan personuppgiftsincidenter ha anknytning till flera medlemsstater i EU. Med andra ord en gränsöverskridande personuppgiftsincident. Till exempel om ett företag har kunder i flera medlemsstater och all kunddata är samlat inom ett system i huvudkontoret, och företaget blir utsatt för ett dataintrång som leder till att någon obehörig får tillgång till personuppgifterna.
Ansvarig tillsynsmyndighet vid gränsöverskridande personuppgiftsincidenter
Det är viktigt för företag som utför gränsöverskridande behandlingar av personuppgifter att veta vilken som är deras ansvariga tillsynsmyndighet. Det brukar vara samma land som företaget har sitt huvudsakliga verksamhetsställe. Till exempel om ett företag som säljer produkter inom Norden och har sitt huvudkontor i Danmark, så är Danmark det huvudsakliga verksamhetsstället. Däremot kan det i vissa fall vara ett annat lands tillsynsmyndighet som är ansvarig ändå, om företaget fattar beslut gällande GDPR om syftet osv i ett annat EU-land.
Anmäla personuppgiftsincidenter
En viktig anledning till varför företag behöver veta vilken tillsynsmyndighet som är ansvarig, är för att kunna anmäla personuppgiftsincidenter i tid. Enligt GDPR ska det ske inom 72 timmar från och med upptäckten. Om företaget inte vet vilken myndighet de ska kontakta i förväg, kan det ta värdefull tid från dem.
Vid gränsöverskridande personuppgiftsincidenter: Registrerade kan göra anmälningar till vilken tillsynsmyndighet som helst
Om en registrerad vill göra en anmälan gällande en överträdelse av GDPR, kan de lämna in den till vilken tillsynsmyndighet som helst i EU/EES-området. Därefter kan tillsynsmyndigheten komma fram till att ett annat lands tillsynsmyndighet är mer lämplig att ta över ärendet och vid sådana fall överför de det. Därför är det inte lika viktigt för registrerade att veta vilket land som företaget har sitt huvudsakliga verksamhetsställe eller vem som är den ansvariga tillsynsmyndigheten.
Tillsyn efter att registrerade från flera länder lämnade klagomål: Direktmarknadsföring i strid med GDPR
Den svenska dataskyddsmyndigheten utförde en tillsyn mot ett företag efter att individer lämnat in klagomål till dataskyddsmyndigheterna i Italien, Polen och Storbritannien. I och med att företaget har sitt huvudkontor i Sverige, är den svenska dataskyddsmyndigheten ansvarig och därmed blev ärendena avseende klagomålen överförda dit. Företaget fick betala en sanktionsavgift på 350 000 SEK för att de bland annat inte upphörde med direktmarknadsföring när de fått invändningar från de registrerade.
Mer information om GDPR
Utföra en riskbedömning när en personuppgift inträffar
När en personuppgiftsincident inträffar, ska företaget göra en riskbedömning. Därefter kan företaget bättre avgöra huruvida de behöver informera de registrerade eller den ansvariga dataskyddsmyndigheten om personuppgiftsincidenten. Riskbedömningen bör bland annat innehålla information om vilken typ av personuppgiftsincident det är, hur viktiga personuppgifterna är, vilka konsekvenser som det kan innebära för registrerade och om de registrerade är en extra skyddsvärd grupp (såsom barn, äldre eller personer med funktionsnedsättning).