Det är vanligt för en personuppgiftsansvarig att anlita ett personuppgiftsbiträde och det är bra att känna till hur rapportering av personuppgiftsincidenter hos ett biträde går till. Om ett biträde upptäcker en personuppgiftsincident hos sig, som avser personuppgifterna som den personuppgiftsansvarige är ansvarig för, ska biträdet rapportera incidenten till den personuppgiftsansvarige. Detta ska ske utan onödigt dröjsmål efter att incidenten har blivit upptäckt. Därefter är det den personuppgiftsansvarige som ska rapportera det vidare till IMY som är tillsynsmyndigheten i Sverige. Om företaget har ett dataskyddsombud ska denne få reda på personuppgiftsincidenten också.
Rapportering efter personuppgiftsincidenter hos ett biträde
Det är inte biträdet som gör anmälan om incidenten till IMY, utan den personuppgiftsansvarige. Detta innebär att biträdet måste ge den personuppgiftsansvarige informationen, så att denne kan genomföra anmälan. Det är viktigt att klargöra förhållandet mellan parterna, eftersom det verkliga förhållandet väger tyngre än det som framgår gällande partsförhållandet i ett avtal. Båda parterna har ett ansvar vi behandling av personuppgifter. Därför är det bra att känna till reglerna som gäller enligt GDPR. Ett företag kan även arbeta tillsammans med flera personuppgiftsansvariga, ett biträde samt ett underbiträde och det kan vara svårt att hålla reda på rollerna för alla.
Rapporten till IMY avseende personuppgiftsincidenter som inträffar hos ett biträde ska innehålla följande:
- Förklaring av vad som har hänt, hur många som har påverkats och ungefär hur många personuppgifter incidenten omfattar.
- Kontaktuppgifter till någon som myndigheten kan ta i kontakt med för att få mer information om det inträffade. Exempelvis dataskyddsombud om företaget har ett eller någon annan kontaktpunkt.
- En beskrivning av vilka konsekvenser som incidenten kan medföra för de registrerade personerna.
- Information avseende om den personuppgiftsansvarige har gjort några förändringar för att det inte ska ske igen samt vad som har gjorts för att konsekvenserna för de påverkade ska bli minimerade.
Personuppgiftsincidenter är en typ av säkerhetsincident enligt GDPR
Personuppgiftsincidenter kan ske på flera olika sätt och det är viktigt att företaget vet hur de ska agera om det inträffar en incident. I vissa fall måste företaget rapportera det till IMY och i andra fall inte. Dessutom behöver företaget vidta åtgärder för att undvika att det ska ske personuppgiftsincidenter.
En personuppgiftsincident behöver inte alltid ske olagligt, såsom vid dataintrång, men det kan vara så. Vid sådana fall ska det bli anmält till Polisen också, eftersom dataintrång utgör ett brott.
Den vanligaste personuppgiftsincidenten är felskickade mejl och mänskliga faktorn är den vanligaste orsaken till incidenten. Exempelvis att en e-postadress blir felstavad och att någon annan obehörig person tar emot meddelandet. Dessutom kan en personuppgiftsincident ske på grund av ett strömavbrott som leder till att personuppgifter blir förstörda eller förlorade.