Måste man informera patienterna som drabbats om man anmäler en personuppgiftsincident till Integritetsskyddsmyndigheten?

Nej. Det utgör en skyldighet för en vårdgivare såsom personuppgiftsansvarig att anmäla till Integritetsskyddsmyndigheten (IMY) såvida det inte är osannolikt att personuppgiftsincidenten leder till en hög risk för fysiska personers rättigheter och friheter, se artikel 33.1 Dataskyddsförordningen. I detta fall föreligger ingen skyldighet att också informera de som drabbats av incidenten.

Om incidenten däremot sannolikt leder till en hög risk för fysiska personers rättigheter och friheter måste vårdgivaren informera de personer som drabbats, se artikel 34.1 Dataskyddsförordningen. Tröskeln för att informera de som drabbats är högre än för att anmäla incidenten till IMY. Summerat innebär det att för alla personuppgiftsincidenter så finns inte en informationsplikt till de drabbade.

LAGSTÖD

Artikel 33.1 Dataskyddsförordningen.
Artikel 34.1 Dataskyddsförordningen.
Inlagd i kategori: