GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Information om GDPR

Informera registrerade om inträffad personuppgiftsincident

I vissa fall ska företag informera registrerade om inträffad personuppgiftsincident enligt GDPR. Dessutom ska företag i vissa fall anmäla personuppgiftsincidenten till den nationella eller ansvariga dataskyddsmyndigheten. Därför är det viktigt att alltid analysera det inträffade och utbilda personalen om vad som kan utgöra en personuppgiftsincident enligt GDPR. 

Företag ska informera registrerade vid personuppgiftsincidenter i vissa fall

Enligt GDPR måste företag i vissa fall informera de registrerade om en personuppgiftsincident som har inträffat. Det ska ske om sannolikheten är hög att personuppgiftsincidenten riskerar de registrerades fri- och rättigheter. Till exempel om det sker ett dataintrång och tusentals kreditkortsuppgifter läcker. Genom att informera de registrerade om det inträffade, kan de få en möjlighet att skydda sig genom att vidta åtgärder. Till exempel genom att spärra sitt kreditkort vars uppgifter har läckt. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Information som ska framgå till de registrerade:

  • Orsak: Orsaken till att personuppgiftsincidenten inträffade. 
  • Kontaktuppgifter: Kontaktuppgifterna till någon på företaget som registrerade kan kontakta. Om företaget har ett dataskyddsombud, ska dennes kontaktuppgifter framgå. 
  • Konsekvenserna: Beskrivning av de konsekvenser som kan uppstå som följd av personuppgiftsincidenten. 
  • Åtgärder: Vilka åtgärder som företaget har vidtagit för att minimera riskerna och hantera personuppgiftsincidenten. 

När företag inte behöver informera de registrerade

Periodic penalty payments

Vidtagit åtgärder

Det är alltid bra för företag att vidta åtgärder så snabbt som möjligt för att minimera konsekvenserna av personuppgiftsincidenten. Om företaget till exempel gör att personuppgifter blir oläsbara, såsom genom kryptering, behöver de inte informera de registrerade. Detsamma gäller om företaget minimerar konsekvenserna av en inträffad personuppgiftsincident som resulterar i att det inte längre föreligger en hög risk för de registrerades fri- och rättigheter.

Orimligt besvär

I vissa fall kan det vara så att ett företag inte känner till vilka de registrerade är, och vid sådana fall kan det vara omöjligt att kontakta dem personligen. Då ska företaget göra en offentlig delgivning för att informera de registrerade på ett effektivt sätt. Till exempel genom att skriva om personuppgiftsincidenten längst upp på sin webbplats på startsidan.

Anmäla personuppgiftsincident till dataskyddsmyndighet

Vissa personuppgiftsincidenter är anmälningspliktiga. Företag ska anmäla en sådan personuppgiftsincident till den nationella dataskyddsmyndigheten inom 72 timmar från och med upptäckten. Om det inte sker i tid, är det en överträdelse av GDPR som kan få konsekvenser. Till exempel fick ett företag en sanktionsavgift på 100 000 Polish złoty från den Polska dataskyddsmyndigheten för att bland annat ha gjort en anmälan för sent. 

Tänk på följande när du gör en anmälan om personuppgiftsincident

Allvarlighetsgrad

Det är viktigt att göra en bedömning om hur allvarlig personuppgiftsincidenten är och hur allvarliga konsekvenser det kan innebära. Observera att företaget ska bedöma konsekvenserna för de berörda registrerade i fråga, inte konsekvenserna för företaget.

Fullständig anmälan

När en personuppgiftsincident som ska bli anmäld inträffar, kan det hända att företaget inte har all information om incidenten ännu. Vid sådana fall kan företaget lämna in en preliminär anmälan och därefter komplettera den.

Om företaget som gör anmälan till den ansvariga dataskyddsmyndigheten fyller i att allvarlighetsgraden för de konsekvenser som personuppgiftsincidenten kan innebära är betydande, alternativt väldigt betydande, måste företaget som huvudregel informera de berörda registrerade. 

Om en personuppgiftsincident inträffar hos ett företag är personuppgiftsbiträde

Företag som är personuppgiftsbiträden behandlar personuppgifter åt en personuppgiftsansvariges räkning och enligt deras instruktioner. Instruktionerna och övrig information om behandlingen anges i ett personuppgiftsbiträdesavtal, som ska ingås skriftligen mellan parterna enligt kraven i artikel 28 i GDPR. 

Om det inträffar en personuppgiftsincident hos personuppgiftsbiträdet som avser personuppgifter som omfattas av personuppgiftsbiträdesavtalet, ska den personuppgiftsansvarige informeras om detta utan onödigt dröjsmål. 

Dessutom är det fördelaktigt om det framgår i personuppgiftsbiträdesavtalet hur personuppgiftsbiträdet ska agera om det inträffar en personuppgiftsincident. Det är möjligt att inkludera en behörighet i avtalet för att personuppgiftsbiträdet ska kunna anmäla en personuppgiftsincident till den nationella dataskyddsmyndigheten direkt. Detsamma gäller information om det inträffade till de registrerade.

Mer information om personuppgiftsincidenter

Gränsöverskridande personuppgiftsincidenter

När ett företag behandlar personuppgifter med anknytning till flera länder inom EU, är det en gränsöverskridande personuppgiftsbehandling. Om det inträffar en personuppgiftsincident som har anknytning till flera länder i unionen, är det en gränsöverskridande personuppgiftsincident. 

Företag som bedriver gränsöverskridande behandlingar behöver ta reda på vilken dataskyddsmyndighet som är ansvarig. Om en personuppgiftsincident ska bli anmäld, är det dit företaget ska anmäla dem. Däremot kan registrerade lämna in ett klagomål till sin nationella dataskyddsmyndighet eller någon annan inom EU/EES-området. Om dataskyddsmyndigheten anser att en annan myndighet är ansvarig för företaget på grund av att de till exempel har sitt huvudkontor där, överför de ärendet till den nationella dataskyddsmyndigheten i det landet.

Vill du lära dig mer?

Klicka här
Rulla till toppen