Enligt dataskyddsförordningen måste den personuppgiftsansvarige agera snabbt vid en personuppgiftsincident.
Ni ska:
- Bedöma risken för att incidenten påverkar de registrerades rättigheter och friheter.
- Dokumentera alla incidenter – vad som hänt, orsaken, vilka uppgifter som påverkats, konsekvenser och vidtagna åtgärder.
- Anmäla incidenten till IMY (eller annan tillsynsmyndighet) om det inte är osannolikt att den innebär risk för fysiska personers rättigheter och friheter. Anmälan ska normalt ske inom 72 timmar från det att ni fått kännedom.
- Informera de registrerade utan onödigt dröjsmål om incidenten sannolikt medför hög risk för deras rättigheter och friheter.
Tryggleg rekommenderar er att ha en mall för sådan personuppgiftsincidentrapport vilket kommer underlätta en korrekt hantering av personuppgiftsincidenter.
LAGSTÖD
Artikel 4.12 i GDPR
Artikel 33–34 i GDPR Anmälan av en personuppgiftsincident till tillsynsmyndigheten, information till den registrerade om en personuppgiftsincident
Skäl 85–88 i GDPR