Hejsan, mitt företag behandlar personuppgifter från kunder och vi är lite osäkra kring om vi måste anmäla alla personuppgiftsincidenter? Vart ska de bli anmälda och finns det fler saker vi som företag måste göra i samband med en incident?
Måste vi anmäla alla personuppgiftsincidenter?
Svar:
Hej, Tack för din fråga. I och med att jag inte vet exakt vad som har inträffat, kan jag enbart ge ett generellt svar. En personuppgiftsincident är en händelse som innebär att ni förlorar kontrollen över behandlade personuppgifter. Exempelvis att personuppgifterna hamnar i orätta händer.
Det är upp till den personuppgiftsansvariga i företaget att avgöra om incidenten behöver bli anmäld eller inte. Detta är beroende på karaktären av personuppgiftsincidenten och företagets riskbedömning. Om det är sannolikt att incidenten kan leda till risk för personernas fri- och rättigheter, måste incidenten bli anmäld.
Anmälan till Integritetsskyddsmyndigheten
Personuppgiftsincidenter ska bli anmälda till Integritetsskyddsmyndigheten som är tillsynsmyndigheten i Sverige när det gäller GDPR.
Beroende på vilken typ av personuppgiftsincident som inträffat, ska det i vissa fall bli anmält till Integritetsskyddsmyndigheten inom 72 timmar. I vissa fall även till Polisen.
Vid situationer som är allvarliga, ska företaget även informera de berörda personerna om det som inträffat. Företaget ska även informera om vilka skyddsåtgärder personerna själva kan göra, för att minska negativa konsekvenser av incidenten. Endast den personuppgiftsansvariga, kan anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten.
Det är viktigt att anmälan till Integritetsskyddsmyndigheten innehåller minst den information som framgår i artikel 33-34 GDPR. Beskrivningen ska innehålla minst följande:
- Beskrivning av personuppgiftsincidentens art, och om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som är berörda samt de kategorier av och det ungefärliga antalet personuppgiftsposter som är berörda,
- Namn på den person hos företaget som kan tillhandahålla mer information om incidenten eller svara på frågor,
- Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och
- Beskrivning av de åtgärder som företaget har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, och när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Inom företaget ska ni även föra intern dokumentation kring händelsen och åtgärder som ni har vidtagit för att förhindra att incidenten inträffar igen. Exempelvis kan ni upprätta en loggbok för personuppgiftsincidenter. Där kan ni föra anteckningar om incidenten och följa upp ärendet.