Personuppgiftsincidenter?
Korta anmälningstider, höga sanktioner och svåra bedömningar. Har du koll på vad som gäller för personuppgiftsincidenter enligt GDPR?
Om personuppgiftsincidenter
En personuppgiftsincident är en oönskad händelse som medför att personuppgifter försvinner, stjäls, förstörs eller på annat sätt inte är tillgängliga. I många fall är du skyldig att anmäla personuppgiftsincidenter till Datainspektionen och ibland ska du informera den person som uppgifterna gäller. Anmälan ska ske inom 72 timmar från att ni får vetskap om incidenten enligt dataskyddsförordningen GDPR. Den personuppgiftsansvariga som inte följer dessa regler riskerar att drabbas av mycket höga böter.
Ibland är det svårt att avgöra om en incident är anmälningspliktig. Våra experter hjälper dig med denna bedömning, tar fram den dokumentation du behöver för att uppfylla reglerna och lämnar råd om hur du ska går vidare. Fyll i formuläret ovan så återkommer någon av våra experter inom kort med en bedömning av händelsen.
Kontakta oss gärna om du har frågor eller om du vill höra mer om våra tjänster.
Vanliga frågor
Vad är en personuppgiftsincident?
En personuppgiftsincident är en oönskad händelse som leder till oavsiktlig eller olaglig åtkomst, förstöring, förlust, ändring eller röjande av personuppgifter.
Vilka incidenter måste jag anmäla in?
Alla personuppgiftsincidenter ska anmälas till Datainspektionen förutom sådana incidenter där det är osannolikt att incidenten medfört risk för skada av den registrerade. De flesta personuppgiftsincidenter måste alltså anmälas in. Har du svårt att göra bedömningen eller vill ha rådgivning kring incidenten, kontakta oss här till fast pris.
När ska anmälan till datainspektionen ske?
Anmälan av personuppgiftsincidenter ska ske inom 72 timmar från att ni konstaterat att en personuppgiftsincident inträffat. Kravet gäller oavsett om incidenten inträffat hos ett personuppgiftsbiträde eller direkt i er verksamhet och om incidenten upptäckts på en vardag eller helgdag. Det är med andra ord bråttom att göra en korrekt bedömning för att uppfylla kravet i dataskyddsförordningen GDPR.
Vad händer som jag inte anmäler?
Anmälningskravet är reglerat i artikel 33.1 i dataskyddsförordningen GDPR. Om du struntar i att anmäla en anmälningspliktig personuppgiftsincident riskerar du att få betala sanktionsavgifter upp till 10 miljoner EUR, eller upp till 2 % av årsomsättningen, beroende på vilket som är högst.
Krav på noggran dokumentation
Alla personuppgiftsincidenter, oavsett om de ska anmälas till Datainspektionen eller inte, ska noggrant dokumenteras för att uppfylla principen om ansvarsskyldighet i dataskyddsförordningen. Dokumenterar du inte dina inträffade personuppgiftsincidenter riskerar du att få betala en sanktionsavgift.