I vissa fall ska en registrerad bli informerad om en personuppgiftsincident, men det finns flera undantag från rapportering av personuppgiftsincident till registrerad. Däremot måste företag kunna klara av att upptäcka incidenter samt hantera dem därefter. Därför är det viktigt att övervaka behandlingen av personuppgifterna som sker inom verksamheten. Dessutom är det bra att ha tillräckliga säkerhetsåtgärder för att minimera risken för incidenter samt konsekvenserna om incidenter inträffar. Exempelvis genom att använda krypterad information.
Undantag från rapportering av personuppgiftsincident till registrerade enligt GDPR
Efter en personuppgiftsincident bör företag vidta åtgärder för att minimera konsekvenserna. Om företaget lyckas med att vidta åtgärder som exempelvis gör att personuppgifterna inte längre går att läsa av, behöver inte den registrerade bli informerad om incidenten. Ett praktiskt exempel på detta är om informationen är krypterad.
Ett annat exempel är om någon kommit åt lösenord och därmed får tillgång till personuppgifter. Företaget kan då byta lösenordet snabbt för att minimera riskerna med incidenten. Ett tips för att minimera risken för att obehöriga för tillgång till lösenord är att använda flerstegsautentisering.
Det kan vara en tidskrävande och ansträngande process att meddela registrerade om det visar sig vara väldigt många som blivit påverkade av en incident. Exempelvis om det är ett stort företag som har många miljoner eller hundratals miljoner registrerade. Därför kan de vid sådana fall istället ge informationen till allmänheten på något sätt. Till exempel genom att meddela pressen eller/och informera om incidenten på sina sociala medier eller på webbplatsen. Det är bra att använda en kombination av flera informationssätt, eftersom det är större sannolikhet att informationen når fram då.
Om ett företag är osäker på om personuppgiftsincidenten ska bli meddelad till de registrerade eller om företaget omfattas av något undantag, kan tillsynsmyndigheten (IMY i Sverige) besluta i frågan.
Ifall företaget har ett dataskyddsombud, ska denne bli informerad om incidenten. Dessutom ska företaget i vissa fall anmäla incidenten till IMY inom 72 timmar från upptäckten enligt GDPR. IMY har även skapat en e-tjänst för anmälan av personuppgiftsincidenter.
