Öppettider: Mån - Sön, kl. 09:00 - 20:00

Rapportering efter personuppgiftsincidenter hos ett biträde

Ansvariga / Behandling
3 min. läsning
Personuppgiftsbiträde, Personuppgiftsincidenter

Etiketter: Personuppgiftsbiträde, Personuppgiftsincidenter

Det är vanligt för en personuppgiftsansvarig att anlita ett personuppgiftsbiträde och det är bra att känna till hur rapportering av personuppgiftsincidenter hos ett biträde går till. Om ett biträde upptäcker en personuppgiftsincident hos sig, som avser personuppgifterna som den personuppgiftsansvarige är ansvarig för, ska biträdet rapportera incidenten till den personuppgiftsansvarige. Detta ska ske utan onödigt dröjsmål efter att incidenten har blivit upptäckt. Därefter är det den personuppgiftsansvarige som ska rapportera det vidare till IMY som är tillsynsmyndigheten i Sverige. Om företaget har ett dataskyddsombud ska denne få reda på personuppgiftsincidenten också.

Rapportering efter personuppgiftsincidenter hos ett biträde

Det är inte biträdet som gör anmälan om incidenten till IMY, utan den personuppgiftsansvarige. Detta innebär att biträdet måste ge den personuppgiftsansvarige informationen, så att denne kan genomföra anmälan. Det är viktigt att klargöra förhållandet mellan parterna, eftersom det verkliga förhållandet väger tyngre än det som framgår gällande partsförhållandet i ett avtal. Båda parterna har ett ansvar vi behandling av personuppgifter. Därför är det bra att känna till reglerna som gäller enligt GDPR. Ett företag kan även arbeta tillsammans med flera personuppgiftsansvariga, ett biträde samt ett underbiträde och det kan vara svårt att hålla reda på rollerna för alla.

Rapporten till IMY avseende personuppgiftsincidenter som inträffar hos ett biträde ska innehålla följande:

Förklaring av vad som har hänt, hur många som har påverkats och ungefär hur många personuppgifter incidenten omfattar.

Kontaktuppgifter till någon som myndigheten kan ta i kontakt med för att få mer information om det inträffade. Exempelvis dataskyddsombud om företaget har ett eller någon annan kontaktpunkt.

En beskrivning av vilka konsekvenser som incidenten kan medföra för de registrerade personerna.

Information avseende om den personuppgiftsansvarige har gjort några förändringar för att det inte ska ske igen samt vad som har gjorts för att konsekvenserna för de påverkade ska bli minimerade.

Personuppgiftsincidenter kan ske på flera olika sätt och det är viktigt att företaget vet hur de ska agera om det inträffar en incident. I vissa fall måste företaget rapportera det till IMY och i andra fall inte. Dessutom behöver företaget vidta åtgärder för att undvika att det ska ske personuppgiftsincidenter.

En personuppgiftsincident behöver inte alltid ske olagligt, såsom vid dataintrång, men det kan vara så. Vid sådana fall ska det bli anmält till Polisen också, eftersom dataintrång utgör ett brott.

Den vanligaste personuppgiftsincidenten är felskickade mejl och mänskliga faktorn är den vanligaste orsaken till incidenten. Exempelvis att en e-postadress blir felstavad och att någon annan obehörig person tar emot meddelandet. Dessutom kan en personuppgiftsincident ske på grund av ett strömavbrott som leder till att personuppgifter blir förstörda eller förlorade.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

Rapportering efter personuppgiftsincidenter hos ett biträde

Personuppgiftsincidenter är en typ av säkerhetsincident enligt GDPR

Du kanske också gillar

Förberedelser inför personuppgiftsincidenter som företag kan göra

Skillnaden mellan obehörig åtkomst och obehörigt röjande

Personuppgiftsansvarig och personuppgiftsbiträde

Rapportera personuppgiftsincident till registrerade enligt GDPR

Undantag från rapportering av personuppgiftsincident till registrerade