När det har skett en personuppgiftsincident så ska den registrerade informeras av den personuppgiftsansvarige om personuppgiftsincidenten. Det finns bestämmelser om vilken information som måste ges till den registrerade och det finns även bestämmelser som gör det möjligt för tillsynsmyndigheten att kräva att personuppgiftsansvarige ger denna informationen. Mer om detta finns att läsa på artikeln som är länkad här. Men det finns vissa förutsättningar som gör att den personuppgiftsansvarige inte behöver ge information till den registrerade. Det finns tre undantag för detta och de återfinns i artikel 34.3 i samma förordning som ovanstående.
De tre undantagen
Första undantaget är om det personuppgiftsansvarige har genomfört alla de lämpliga tekniska och organisatoriska skyddsåtgärder som krävs och att dessa skyddsåtgärder har tillämpats på de personuppgifter som påverkades av själva personuppgiftsincidenten. Detta gäller speciellt åtgärder som gjort personuppgifterna oläsbara för alla personer som inte har någon behörighet till personuppgifterna. En sådan typ av skyddsåtgärd kan vara till exempel kryptering av personuppgifterna. Det andra undantaget är om det personuppgiftsansvarige har vidtagit ytterligare åtgärder som i sig säkerhetstället att den höga risk som krävs, för att den personuppgiftsansvarige måste meddela den registrerade, inte längre kommer uppstå. Det tredje och sista undantaget är om en informering till den registrerade från den personuppgiftsansvarige skulle innebära en oproportionell ansträngning. Om så är fallet så ska istället allmänheten informeras eller det ska göras någon annan liknande åtgärd som gör att de registrerade informeras på ett lika effektivt sätt.
Läs mer här om vad som är definitionen av en personuppgiftsincident och vilka skador en sådan incident kan skapa.
Lag24
Trainee
09.04.2021
Få snabbt och enkelt hjälp med din juridiska fråga.