Öppettider: Mån - Sön, kl. 09:00 - 20:00

Anmäla alla personuppgiftsincidenter?

Avtal
3 min. läsning
GDPR avtal

Hejsan, mitt företag behandlar personuppgifter från kunder och vi är lite osäkra kring om vi måste anmäla alla personuppgiftsincidenter? Vart ska de bli anmälda och finns det fler saker vi som företag måste göra i samband med en incident?

Måste vi anmäla alla personuppgiftsincidenter?

Svar:

Hej, Tack för din fråga. I och med att jag inte vet exakt vad som har inträffat, kan jag enbart ge ett generellt svar. En personuppgiftsincident är en händelse som innebär att ni förlorar kontrollen över behandlade personuppgifter. Exempelvis att personuppgifterna hamnar i orätta händer.

Det är upp till den personuppgiftsansvariga i företaget att avgöra om incidenten behöver bli anmäld eller inte. Detta är beroende på karaktären av personuppgiftsincidenten och företagets riskbedömning. Om det är sannolikt att incidenten kan leda till risk för personernas fri- och rättigheter, måste incidenten bli anmäld.

Anmälan till Integritetsskyddsmyndigheten

Personuppgiftsincidenter ska bli anmälda till Integritetsskyddsmyndigheten som är tillsynsmyndigheten i Sverige när det gäller GDPR.

Beroende på vilken typ av personuppgiftsincident som inträffat, ska det i vissa fall bli anmält till Integritetsskyddsmyndigheten inom 72 timmar. I vissa fall även till Polisen.

Vid situationer som är allvarliga, ska företaget även informera de berörda personerna om det som inträffat. Företaget ska även informera om vilka skyddsåtgärder personerna själva kan göra, för att minska negativa konsekvenser av incidenten. Endast den personuppgiftsansvariga, kan anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten.

Det är viktigt att anmälan till Integritetsskyddsmyndigheten innehåller minst den information som framgår i artikel 33-34 GDPR. Beskrivningen ska innehålla minst följande:

Beskrivning av personuppgiftsincidentens art, och om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som är berörda samt de kategorier av och det ungefärliga antalet personuppgiftsposter som är berörda,
Namn på den person hos företaget som kan tillhandahålla mer information om incidenten eller svara på frågor,
Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och
Beskrivning av de åtgärder som företaget har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, och när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Inom företaget ska ni även föra intern dokumentation kring händelsen och åtgärder som ni har vidtagit för att förhindra att incidenten inträffar igen. Exempelvis kan ni upprätta en loggbok för personuppgiftsincidenter. Där kan ni föra anteckningar om incidenten och följa upp ärendet.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_5DK075ZHWL	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_4	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

Måste vi anmäla alla personuppgiftsincidenter?

Anmälan till Integritetsskyddsmyndigheten

Du kanske också gillar

Mall för GDPR avtal

Skriva GDPR avtal

Får jag behandla personuppgifter som tillhör kunder?

Personuppgiftsbiträdesavtal enligt GDPR

Dataskyddspolicy, Integritetspolicy, Personuppgiftspolicy?

GDPR avtal för företag