När det har skett en personuppgiftsincident så ska den registrerade erhålla information från den personuppgiftsansvarige. Bestämmelserna gällande detta återfinns i artikel 34 i Dataskyddsförordningen (GDPR).

När ska den registrerade informeras

Den registrerade ska erhålla information om personuppgiftsincidenten sannolikt anses leda till en hög risk för fysiska personers rättigheter och friheter. Det är då upp till den personuppgiftsansvarige att informera de registrerade. Denna informations ska ges utan något onödigt dröjsmål. Dessa bestämmelser återfinns i artikel 34.1 i Dataskyddsförordningen. Under vissa omständigheter behöver den personuppgiftsansvarige inte ge information till den registrerade vilket kan läsas mer om här.

Vad ska underrättelsen innehålla

Vad själva underrättelsen från personuppgiftsansvarige till den registrerade ska innehåller föreskrivs i artikel 34.2. Denna bestämmelser kräver att det informationen ska innehålla en tydlig och klar beskrivning av själva personuppgiftsincidentens art. Det ska även innehålla de upplysningar och åtgärder som finns i artikel 33 b-d. Detta upplysningar är bland annat namn och kontaktuppgifter till dataskyddsombudet eller några andra kontaktpunkter där den registrerade kan få mer information, upplysning om de sannolika konsekvenskerna för personuppgiftsincidenten, upplysning om de åtgärder som har tagits eller har föreslagits att ta för att åtgärda personuppgiftsincidenten. Detta ska vara åtgärder den personuppgiftsansvarige har tagit eller kommer vidta. Det kan även vara åtgärder som har tagits eller kommer att tas för att på något sätt mindra de potentiella negativa effekterna personuppgiftsincidenten kommer ha.

Informationsföreläggande

Det finns ett informationsföreläggande i artikel 34.4 i Dataskyddsförordningen som innebär att den tillsynsmyndigheten kan kräva att personsuppgiftsbiträdet informera den registrerade om personuppgiftsincidenten eller att personuppgiftsbiträdet ska besluta om något av undantaget för att inte informera föreligger. Detta får ske om den personuppgiftsansvarige inte redan har informerat om personuppgiftsincidenten till den registrerade.

Lag24
Trainee
09.04.2021

Få snabbt och enkelt hjälp med din juridiska fråga.

Kontakt