I vissa fall behöver företag rapportera personuppgiftsincident till registrerade som har blivit påverkade. Det ska ske utan onödigt dröjsmål efter att incidenten blivit upptäckt. Den vanligaste personuppgiftsincidenten de första åren sedan GDPR började gälla har varit felskickade mejl. Den vanligaste orsaken till detta har varit den mänskliga faktorn. Företag bör ha interna rutiner för att bland annat minimera risken för att personuppgiftsincidenter ska inträffa samt rutiner för vad företaget ska göra om det inträffar.
Rapportera personuppgiftsincident till registrerade
Personuppgiftsincidenter är vanliga, men det är inte alla incidenter som ska bli rapporterade till IMY eller de registrerade. Det ska enbart ske om risken är stor för att konsekvenserna av incidenten troligen kommer påverka rättigheterna och friheterna hos den registrerade. Det är viktigt att informationen är tydlig och förståelig. Därför är det bra att tänka på att anpassa informationen till målgruppen och personerna som incidenten berör. Istället för att exempelvis förklara det på komplicerat juridiskt språk, ska det förklara på ett enklare sätt.
Informationen till den registrerade ska bland annat innehålla:
- Kontaktuppgifter till kontaktperson på företaget som den registrerade kan vända sig till vid frågor. Om företaget har ett dataskyddsombud ska ombudets kontaktuppgifter framgå.
- En förklaring av vilka konsekvenser som incidenten kan medföra för den registrerade. Det kan även vara bra att få med om det finns några åtgärder som personen kan göra för att minimera konsekvenserna.
- En beskrivning av om företaget har gjort några förändringar för att incidenten inte ska inträffa igen samt om företaget gjort något för att minimera konsekvenserna av den inträffade incidenten.
När en personuppgiftsincident ska bli anmäld till IMY, ska det ske inom 72 timmar från upptäckten enligt GDPR. Dessutom har IMY skapat en e-tjänst för anmälan av personuppgiftsincidenter för att göra processen smidigare.
