Personuppgiftsincident – information till drabbade

Hur ska en personuppgiftsansvarig informera registrerade som har drabbats av en personuppgiftsincident?

dataskydd_personuppgiftsincident_16x9.jpg

Handlingsfrihet


Som utgångspunkt bör den personuppgiftsansvarige kommunicera informationen om personuppgiftsincidenten direkt till de drabbade. Hur kommunikationen ska gå till regleras dock inte specifikt i GDPR. Där har man som personuppgiftsansvarig handlingsfrihet, vilket innebär att man kan anpassa sättet att kommunicera beroende på vad som är lämpligt i det enskilda fallet. Informationen ska vara klar, tydlig och ska inte skickas tillsammans med annan information likt nyhetsbrev eller standarduppdateringar.

Enligt vägledning från artikel 29-gruppen ska den personuppgiftsansvarige välja den kommunikationsväg som maximerar chanserna för att nå ut med informationen till de registrerade. Det bör inte heller uteslutas att man som personuppgiftsansvarig, då det är lämpligt, använder sig av mer än en kommunikationsväg när denna information ska nå ut till de registrerade.

Kommunikationskanal som ska undvikas


Det man som personuppgiftsansvarig ska undvika är att använda en kommunikationskanal som i sig omfattas av den aktuella personuppgiftsincidenten. Om organisationens e-post blivit utsatt för angrepp från en utomstående hacker är det inte lämpligt att använda e-post för att sedermera informera de registrerade om incidenten.

Vill du ta del av mer material som rör dataskydd?


Läs då mer om informationstjänsten JP ITnet.

Publicerad 22 okt 2018

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

I ett nytt ställningstagande från Integritetsskyddsmyndigheten klargörs bland annat innebörden av begreppet "personuppgifter om lagöverträdelser som innefattar brott”, ett begrepp som är vidare än många tror. I en ny analys kan du ta del av JP Infonets expert Monika Wendlebys resonemang kring ställningstagandet.

21 jan 2022

Efter att ha granskat hur Migrationsverket använder VIS för utbyte av uppgifter om visum mellan EU:s medlemsländer, utfärdar IMY två varningar eftersom det finns risk för att bestämmelserna i dataskyddsförordningen kan brytas.

21 dec 2021

Integritetsskyddsmyndigheten (IMY) har publicerat ett rättsligt ställningstagande om innebörden av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10 i dataskyddsförordningen.

20 dec 2021