Enligt GDPR är personuppgiftsansvariga skyldiga att anmäla personuppgiftsincidenter till behörig tillsynsmyndighet. Anmälan ska göras inom 72 timmar från att den personuppgiftsansvarige fått vetskap om incidenten. Inom denna relativt korta period är det upp till den personuppgiftsansvarige att bedöma hur incidenten ska hanteras, utvärdera riskerna för de drabbade individerna, samt avgöra om incidenten ska anmälas till tillsynsmyndigheten och i så fall hur. Med detta blogginlägg vill vi svara på några vanliga frågor om anmälan av personuppgiftsincidenter till tillsynsmyndigheten. Detta kommer att hjälpa er att skapa en effektiv rutin för personuppgiftsincidenthantering, vilket stärker er GDPR-efterlevnad och skingrar eventuella orosmoln kring incidentanmälan!
Detta blogginlägg kommer inte att behandla information till de registrerade om en personuppgiftsincident.
Djupare förklaring av de olika stegen i processen finns nedan.
När behöver vi anmäla en personuppgiftsincident till tillsynsmyndigheten?
Eftersom anmälningsskyldigheten gäller personuppgiftsincidenter beskriver vi kort vad som räknas som sådana. Säkerhetsincidenter som inte påverkar personuppgifter träffas inte av GDPR. ”Personuppgiftsincident” definieras i artikel 4.12 GDPR. Enkelt uttryckt utgör all oplanerad eller obehörig behandling av personuppgifter en personuppgiftsincident. För en mer ingående förklaring av hur en personuppgiftsincident känns igen, se Europeiska dataskyddsstyrelsens (EDPB) riktlinjer 09/2022, s. 7-9.
Ni behöver inte anmäla en personuppgiftsincident om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och skyldigheter, artikel 33.1 GDPR. Detta innebär att ni behöver utvärdera de potentiella konsekvenserna för individerna vars personuppgifter har påverkats. Några exempel på negativa konsekvenser är diskriminering, identitetsstöld eller bedrägerier, ekonomisk förlust, och obehörigt hävande av pseudonymisering.1 Om det är osannolikt att incidenten kommer att leda till sådana effekter behöver ni inte göra en anmälan till tillsynsmyndigheten. Anmälningskravet har dock en låg tröskel. Det behöver inte faktiskt ha förekommit några negativa konsekvenser, utan så snart det inte är osannolikt att incidenten leder till en risk för negativa konsekvenser uppstår en anmälningsskyldighet. Ni kan läsa mer om vilka personuppgiftsincidenter som behöver anmälas i vårt tidigare blogginlägg!
Om ni är ett personuppgiftsbiträde ska ni anmäla alla personuppgiftsincidenter till den personuppgiftsansvarige, artikel 33.2 GDPR. Det är upp till den personuppgiftsansvarige att sedan avgöra om incidenten måste anmälas till den behöriga tillsynsmyndigheten. För ett förtydligande av rollerna som personuppgiftsansvarig och personuppgiftsbiträde, se vårt tidigare blogginlägg.
Det är viktigt att vara medveten om att en utebliven anmälan i ett fall då anmälningsskyldighet föreligger kan leda till en administrativ sanktionsavgift, artikel 83 GDPR.
Hur vet vi vilken tillsynsmyndighet vi ska göra anmälan till?
Varje medlemsstat i EU har en tillsynsmyndighet (i Tyskland finns det en för varje delstat s.k. Bundesland). Island, Liechtenstein och Norge är som medlemmar i EES också bundna av GDPR, och har sina egna tillsynsmyndigheter. GDPR innehåller en metod för att avgöra vilken tillsynsmyndighet som är behörig att hantera en viss fråga om personuppgiftshantering.
Hur ni avgör vilken tillsynsmyndighet som är behörig beror på hur många verksamhetsställen er verksamhet har inom EU/EES, och om ni genomför gränsöverskridande personuppgiftsbehandling.
Om er verksamhet har ett enda verksamhetsställe inom EU/EES
Om er verksamhet har ett enda verksamhetsställe inom EU/EES, så är tillsynsmyndigheten i det land där verksamhetsstället ligger behörig, artikel 55 GDPR. Detta gäller även om er behandling av personuppgifter har en väsentlig påverkan på registrerade i en annan medlemsstat (en typ av gränsöverskridande behandling).2
Om er verksamhet har mer än ett verksamhetsställe inom EU/EES
Om er verksamhet har mer än ett verksamhetsställe inom EU/EES behöver ni undersöka huruvida personuppgiftsincidenten påverkat personuppgifter som ingår i en gränsöverskridande behandling. Gränsöverskridande behandling innebär att behandling utförs inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat.3 Till exempel ett företag som är etablerat i Sverige och Danmark och som behandlar personuppgifter vid båda dessa verksamhetsställen – genomför en gränsöverskridande behandling. I dessa fall gäller ”One Stop Shop”-principen i GDPR, artikel 56 GDPR. Detta innebär att personuppgiftsincidenten endast behöver anmälas till den ansvariga tillsynsmyndigheten, alltså inte till tillsynsmyndigheterna i varje medlemsstat som har påverkats.
Vid gränsöverskridande behandling
För att identifiera er ansvariga tillsynsmyndighet behöver ni avgöra vilket som är ert huvudsakliga verksamhetsställe inom EU/EES. Ert huvudsakliga verksamhetsställe är i regel den plats där ni har er centrala förvaltning. Om det är så att beslut om ändamål och medlen (”varför och hur”) för personuppgiftsbehandling fattas på ett annat ställe, så är detta andra verksamhetsställe ert huvudsakliga verksamhetsställe. Tanken är att fastställa var den faktiska och reella ledningen finns, det vill säga den ledning som fattar de huvudsakliga besluten om ändamål och medel för behandlingen.4 Några användbara bedömningsfaktorer är:
- Var ges det slutliga godkännandet av beslut om ändamål och medel för behandlingen?
- Var fattas beslut om affärsverksamhet som omfattar behandling av personuppgifter?
- Var finns den faktiska befogenheten att genomföra beslut?
- Var finns direktören (eller direktörerna) som har det huvudsakliga ansvaret för den gränsöverskridande behandlingen?
- Var är den personuppgiftsansvarige eller personuppgiftsbiträdet registrerad som ett företag, om behandlingen sker inom ett enda territorium?
Vid behandling som inte är gränsöverskridande
Om ni har flera verksamhetsställen inom EU/EES, men endast behandlar personuppgifter inom ramen för verksamheten vid ett av dem, så gäller artikel 55 GDPR. Den behöriga tillsynsmyndigheten är då tillsynsmyndigheten i det land där behandlingen äger rum.
Om ni inte har något verksamhetsställe inom EU/EES
Om ni inte har något verksamhetsställe inom EU/EES gäller inte ”One Stop Shop”-principen. Ni behöver därför anmäla personuppgiftsincidenter till tillsynsmyndigheterna i samtliga länder där ni är aktiva, genom er företrädare i EU.5
Hur gör vi anmälan till tillsynsmyndigheten?
Varje tillsynsmyndighet har valt egna system och metoder för anmälan. Vissa använder sig av digitala formulär på sin webbplats. Andra tillhandahåller formulär/blanketter som ska laddas ner, fyllas i och sedan skickas in via mejl eller post. Det finns information om hur anmälan ska göras på tillsynsmyndigheternas respektive hemsidor. EDPB har skapat en lista över tillsynsmyndigheterna som finns tillgänglig här. Tyskland har en tillsynsmyndighet för varje delstat (Bundesland), de finns listade här.
I Sverige kräver Integritetsskyddsmyndigheten att organisationer anmäler personuppgiftsincidenter genom deras digitala formulär. I vårt digitala GDPR-verktyg finns en smidig funktion för att dokumentera incidenter och ta fram hjälpsamt material för att snabbt kunna rapportera till tillsynsmyndigheten.
Notera att vissa tillsynsmyndigheter inte har information om anmälan tillgänglig på engelska! Det är därför viktigt att ha utarbetat en plan för hantering av personuppgiftsincidenter redan innan en incident inträffar, så att ni inte behöver spendera dyrbar tid på att leta efter anmälningsinstruktioner när er 72-timmarsdeadline väl har börjat ticka.
Behöver vi dokumentera personuppgiftsincidenter internt?
Ja! Enligt artikel 33.5 GDPR ska personuppgiftsansvariga dokumentera samtliga personuppgiftsincidenter. Detta gäller oavsett om ni behöver anmäla incidenten till ansvarig tillsynsmyndighet. Skyldigheten att dokumentera personuppgiftsincidenter är kopplad till ansvarsprincipen i artikel 5.2 GDPR, och är del av den personuppgiftsansvariges skyldigheter enligt artikel 24 GDPR. Detta innebär att tillsynsmyndigheten kan begära att få ta del av dokumentationen.
Det är upp till er att bestämma hur dokumentationen ska upprättas och struktureras. Följande punkter måste dock ingå:6
- Orsakerna till incidenten,
- En beskrivning av det som inträffa
- En beskrivning av de personuppgifter som berörts av incidenten,
- Effekterna och konsekvenserna av incidenten, och
- En beskrivning av åtgärderna ni har vidtagit för att åtgärda incidenten.
EDPB rekommenderar att den personuppgiftsansvarige också dokumenterar hur era beslut kring incidenten har motiverats.7 Om ni väljer att inte anmäla incidenten till tillsynsmyndigheten är det särskilt viktigt att dokumentera varför ni har fattat detta beslut. Ni bör beskriva varför ni anser att det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter.
Tips! I vårt digitala GDPR-verktyg finns en smidig funktion för att dokumentera incidenter och ta fram hjälpsamt material för att snabbt kunna rapportera till tillsynsmyndigheten, vid behov.
Vad är fördelarna med att ha en dokumenterad plan för hantering av personuppgiftsincidenter?
Det är ganska många steg som behöver tas när en personuppgiftsincident inträffar. Därför rekommenderar EDPB att upprätta en dokumenterad plan för hantering av personuppgiftsincidenter.8 Planen bör tydligt beskriva den process som ska följas när en incident har upptäckts, inklusive:
- hur incidenten ska begränsas, hanteras och åtgärdas,
- hur risken för de berörda individerna ska bedömas, och därmed hur ni ska avgöra om incidenten behöver anmälas till ansvarig tillsynsmyndighet,
- hur anmälan till tillsynsmyndigheten görs, och
- hur incidenten ska dokumenteras internt.
För att påvisa efterlevnad av GDPR är det också bra att kunna visa att era anställda har informerats om att planen för incidenthantering finns, och att de vet hur de ska agera om en incident inträffar.
Avslutningsvis
Att anmäla en personuppgiftsincident till tillsynsmyndigheten kan kännas som en skrämmande och påfrestande uppgift, men anmälan har flera fördelar. Till exempel kan tillsynsmyndigheten ge råd er angående om de individer som berörts av incidenten behöver informeras. Försök att se incidentanmälan som ett verktyg för att förbättra efterlevnaden av GDPR och för att skydda personuppgifter!
Vårt digitala GDPR-verktyg för registerföring innehåller effektiva lösningar som hjälper er att smärtfritt dokumentera och anmäla personuppgiftsincidenter. Vill ni boka en kostnadsfri demo av verktyget? Klicka här! Ni kan också läsa mer om varför det är så viktigt med registerföring i vårt tidigare blogginlägg.
Om ni har fler frågor eller är intresserade av att förbättra ert eget GDPR-arbete är ni varmt välkomna att kontakta oss! Vi nås på 046 – 273 17 17 eller via info@gdprhero.se.
Fotnoter
- För fler exempel, se skäl 75 och 85 i ingressen till GDPR.
- Artikel 56 GDPR. Eftersom ni endast har ett verksamhetsställe följer det logiskt att detta är ert huvudsakliga verksamhetsställe.
- Artikel 4.23 GDPR.
- EDPB:s riktlinjer Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden, s. 9.
- EDPB:s riktlinjer Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden, s. 13.
- Artikel 33.5 GDPR och EDPB:s riktlinjer 09/2022 om personuppgiftsincidentsrapportering enligt GDPR, s. 26.
- EDPB:s riktlinjer 09/2022 om personuppgiftsincidentsrapportering enligt GDPR, s. 27.
- EDPB:s riktlinjer 09/2022 om personuppgiftsincidentsrapportering enligt GDPR, s. 27.