GDPR: Hur man svarar på begäran om ämnesåtkomst

EU General Data Protection Regulation (GDPR) träder i kraft den 25 maj 2018 och kommer att ersätta alla EU-medlemsstaternas nuvarande nationella dataskyddslagar, vilket ger ett standardiserat tillvägagångssätt för dataskydd i hela EU.

En av de viktigaste förändringarna under GDPR är att alla organisationer måste anmäla ett brott mot personuppgifter till sin tillsynsmyndighet inom 72 timmar, och i vissa fall till de berörda personerna.

Vad är en överträdelse mot personuppgifter?

En överträdelse mot personuppgifter avser brott mot säkerheten som kan leda till förstörelse, förlust, förändring och obehörigt avslöjande av eller tillgång till personuppgifter.Så en överträdelse är mer än att bara förlora personuppgifter.

Hur man rapporterar en överträdelse

En överträdelse måste rapporteras till den behöriga tillsynsmyndigheten inom 72 timmar efter att en organisation blivit medveten om det.Beroende på omfattningen av överträdelsen kan det vara omöjligt att undersöka ett brott fullt ut inom den angivna tidsramen, så organisationer får tillhandahålla information i faser.

Vilken information ska inkluderas i ett meddelane?

Informationen som ska ingå i en meddelande om en dataöverträdande är:

  • Typ av överträdelse mot personuppgifter, inklusive:
    • Typ och beräknat antal individer som berörs; och
    • Typ och beräknat antal personuppgifter som berörs.
  • Namn och kontaktuppgifter för en kontaktpunkt där ytterligare information kan erhållas, t.ex. data protection officer (DPO);
  • De möjliga resultaten av brott mot personuppgifter; och
  • En förteckning över åtgärder som vidtagits eller ska vidtas för att hantera överträdelsen och lämpliga åtgärder som vidtagits för att mildra eventuella negativa effekter.

När ska de berörda personerna bli meddelade?

Om en överträdelse sannolikt kommer att medföra en hög risk för enskilda personers rättigheter och friheter, måste de drabbade meddelas direkt.

Det är när behovet av att meddela en individ överstiger behovet av att underrätta den behöriga tillsynsmyndigheten.

Läs mer från våra experter om de steg som är involverade i att rapportera en dataöverträdelse och hur din organisation kan föra dem på plats för att möta tidsfristen med våra fem dagars Certifierad EU GDPR Foundation och Practitioner Combination Course, som hålls på olika europeiska platser.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.