Personuppgiftsbiträdets skyldigheter
Den personuppgiftsansvariga har alltid det huvudsakliga ansvaret för att personuppgiftsincidenter anmäls till IMY och till de registrerade personer som kan drabbas av händelsen. I rollen som personuppgiftsbiträde är ni dock skyldiga att rapportera till den personuppgiftsansvariga om ni upptäcker en personuppgiftsincident. Om er organisation anlitas som personuppgiftsbiträde av flera personuppgiftsansvariga måste ni informera samtliga personuppgiftsansvariga som berörs av incidenten.
Rapportera snarast möjligt
Av dataskyddsförordningen framgår att ni ska rapportera om en personuppgiftsincident till den personuppgiftsansvariga utan onödigt dröjsmål. Rapportera därför till den personuppgiftsansvariga så snart ni fått vetskap om en personuppgiftsincident. Har ni inte all information tillgänglig från början kan ni lämna informationen allteftersom.
Ni behöver inte bedöma sannolikheten för att en risk uppstår till följd av en personuppgiftsincident. Det är den personuppgiftsansvariga som har det ansvaret.
Avtalet ska vara tydligt
Det ska framgå av personuppgiftsbiträdesavtalet hur ni ska agera om ni upptäcker en personuppgiftsincident och till vem hos den personuppgiftsansvariga ni ska rapportera. Det ska även framgå av avtalet om ni har fått behörighet att anmäla personuppgiftsincidenten direkt till IMY och, vid behov, till de registrerade som drabbats.
Obs! Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger kvar hos den personuppgiftsansvariga.