Nar anmalan av personuppgiftsincidenter galler och vad som bor goras sedan

Anmalan av personuppgiftsincidenter ar for SaaS-team ett operativt arbetsflode. Nar en incident kan involvera personuppgifter ska teamet oppna en bedomningslogg, bekrafta berorda system, utse ansvariga och dokumentera vad som ar kant och okant.

Artikel 33 GDPR kraver att den personuppgiftsansvarige underrattar behorig tillsynsmyndighet utan onodigt drojsmal och, om mojligt, inom 72 timmar efter att ha blivit medveten om incidenten, om det inte ar osannolikt att den medfor risk for fysiska personers rattigheter och friheter. Personuppgiftsbitraden ska underratta den ansvarige utan onodigt drojsmal. Artikel 34 kraver separat information till registrerade vid sannolik hog risk.

De praktiska fragorna ar: berors personuppgifter, finns risk eller hog risk, och vilken roll har bolaget for varje dataset. En SaaS-leverantor kan vara ansvarig for konto- eller marknadsdata och bitrade for kunddata.

Loggen bor innehalla upptackt, tidpunkt for medvetenhet, system, datakategorier, berorda personer eller poster, leverantorer, begransning, sannolika konsekvenser, atgarder och anmalningsbeslut. Kundavtal och DPA-tidsfrister ska finnas i samma flode.

Tillsynsmyndighet, registrerade, kunder och interna team behover olika budskap. Bedom risk och hog risk separat. Om information saknas kan kompletteringar komma senare, men oppna punkter maste dokumenteras.

Vanliga misstag ar att vanta pa full visshet, missa rollmappning, blanda ihop risk och hog risk, lita for mycket pa kryptering eller containment och sprida evidens mellan chattar, arenden och e-post. Ett starkt arbetsflode kopplar incident response, privacy, kundskyldigheter och atgarder.

FAQ

Maste varje incident anmalas?

Nej. Om risk for individer ar osannolik kan anmalan till myndighet vara onodig. Fakta och beslut ska anda dokumenteras.

Vad ska goras forst?

Oppna loggen, sakra tidslinjen, bekrafta data och roller samt utse beslutsagare.