För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen (“GDPR”) är det viktigt att alla som behandlar personuppgifter har rutiner på plats för att kunna hantera personuppgiftsincidenter. Det är inte alldeles enkelt att bedöma vad som är en personuppgiftsincident och när ni som är personuppgiftsansvariga ska anmäla till Integritetsskyddsmyndigheten, varför det är viktigt att du förbereder dig i god tid innan den inträffar.
Vad är en personuppgiftsincident?
En personuppgiftsincident inträffar när de uppgifter som en verksamhet ansvarar för drabbas av en säkerhetsincident som leder till ett brott mot konfidentialiteten, tillgängligheten eller integriteten.
Enligt dataskyddsförordningen är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer. De kan råka ut för till exempel ekonomisk skada eller kränkning av sina friheter och rättigheter.
En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan också påverka tilltron till den verksamhet som behandlar personuppgifter. Det kan dessutom leda till sanktionsavgifter.
Vilka personuppgiftsincidenter måste anmälas?
Om det är sannolikt att incidenten utgör en risk för en enskild persons rättigheter och friheter, måste din verksamhet anmäla incidenten till Integritetsskyddsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar efter att verksamheten har fått kännedom om den.
Anmälan gör det möjligt för Integritetsskyddsmyndigheten att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan Integritetsskyddsmyndigheten också utöva tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.
Om din verksamhet är ett personuppgiftsbiträde måste varje personuppgiftsincident anmälas till den personuppgiftsansvarige. Detta för att den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter i dataskyddsförordningen.
När måste jag informera de registrerade?
Om personuppgiftsincidenten medför en hög risk för de berörda enskilda personerna, ska även dessa personer informeras. Detta gäller inte om din verksamhet implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder, eller andra åtgärder som säkerställer att det inte längre är troligt att risken förverkligas.
Vad gäller vid gränsöverskridande personuppgiftsincidenter?
Det är viktigt att alla personuppgiftsincidenter anmäls till ansvariga tillsynsmyndigheter, även om en personuppgiftsincident har anknytning till flera medlemsstater. Din verksamhet kan alltså ha olika ansvariga tillsynsmyndigheter för olika personuppgiftsbehandlingar om verksamheten fastställer ändamål och medel för olika personuppgiftsbehandlingar på olika platser inom EU.
Innan ni påbörjar en ny personuppgiftsbehandling är det därför viktigt att ni avgör vilken tillsynsmyndighet som kommer att bli din verksamhets ansvariga tillsynsmyndighet, så att du vet till vilken tillsynsmyndighet du ska vända dig till om en incident skulle inträffa.
Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.