Besök fondia.com
Innehållet som visas avser svensk lagstiftning.
 

Personuppgiftsincident

För att säkerställa att företaget lever upp till kraven i GDPR bör företaget utarbeta en incidentsrapporteringsrutin som samtliga anställda blir införstådda med och kan agera efter. GDPR ställer nämligen krav på att den personuppgiftsansvarige inom 72 timmar efter att ha fått vetskap om en personuppgiftsincident anmäler denna till tillsynsmyndigheten (Sv. Integritetsmyndigheten), såvida det inte är osannolikt att incidenten skulle medföra en risk för de registrerades rättigheter och friheter.

Ett personuppgiftsbiträde brukar enligt personuppgiftsbiträdesavtalet vara skyldigt att underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

I anmälan till Integritetsmyndigheten ska personuppgiftsansvarig beskriva:

  • incidentens art, och om möjligt kategorier av samt ungefärligt antal registrerade och personuppgiftsposter som påverkas,

  • kontaktuppgifter för företagets dataskyddsombud,

  • de sannolika konsekvenserna av incidenten, och

  • de åtgärder som personuppgiftsansvarig vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inklusive om lämpligt åtgärder för att mildra eventuella negativa konsekvenser av incidenten.

Därutöver behöver personuppgiftsansvarig dokumentera alla personuppgiftsincidenter och beskriva omständigheterna kring incidenten, dess effekter och de korrigerande åtgärder som vidtagits.