När det skett en personuppgiftsincident måste detta anmälas och bestämmelserna kring detta återfinns i artikel 33 i Dataskyddsförordningen (GDPR).
Anmälan från personuppgiftsansvarig till tillsynsmyndighet
Vid en personuppgiftsincident så måste den personuppgiftsansvarige anmäla incidenten till behörig tillsynsmyndighet. Vilken tillsynsmyndighet som är behörig bedöms enligt artikel 55 och i Sverige är den behöriga tillsynsmyndigheten Intergritetsskyddsmyndigheten innan kallad datainspektionen. Tidsfristen för denna anmälan är att det ska ske utan onödigt dröjsmål men inte senare än 72 timmar efter att personuppgiftsansvarige fått vetskap om incidenten. Om en anmälan till behörig tillsynsmyndighet inte är gjord inom 72 timmar så ska anmälan också följas av en motivering till förseningen. En anmälan behöver inte göras om det är osannolikt att personuppgiftsincidenten kommer medföra någon risk för fysiska personers rättigheter och friheter.
Anmälan från personuppgiftsbiträde till personuppgiftsansvarig
Bestämmelserna om att personuppgiftsbiträdet måste anmäla incidenten till den personuppgiftsansvarige återfinns i artikel 33.2 i Dataskyddsförordningen. Detta ska också göras utan något onödigt dröjsmål.
Ge information i omgångar vid anmälan om personuppgiftsincident
Det finns en bestämmelse i artikel 33.4 i Dataskyddsförordningen som gör det möjligt att tillhanda hålla informationen i omgångar istället för allt samtidigt. Men detta kräver att det inte var möjligt att tillhandahålla informationen samtidigt, det är alltså inte en valmöjlighet. Det kräver också att det sker utan onödigt ytterligare dröjsmål.
Krav på dokumentation
Den personuppgiftsansvarige har även en skyldighet att dokumentera alla personuppgiftsincidenter som har inträffar och alla de omständigheter som angår dessa incidenter, effekterna och alla de åtgärder som har tagits när dessa incidenter har skett. Denna dokumentation ska användas för att tillsynsmyndigheten ska kunna kontrollera hur bestämmelserna i artikel 33 har efterlevts.
Mer artiklar om personuppgiftsincidenter
Definitionen av en personuppgiftsincident och vilka konsekvenser och skador en personuppgiftsincident kan orsaka kan läsas mer om här. Vad som anmälan behöver innehålla återfinns i artikel 33.3 i samma förordning som ovanstående och kan läsas mer om i artikeln som är länkad här.
Lag24
Trainee
09.04.2021
Få snabbt och enkelt hjälp med din juridiska fråga.