meny

Gränsöverskridande personuppgiftsincidenter

Anmäl alla personuppgiftsincidenter till er ansvariga tillsynsmyndighet även om en personuppgiftsincident har anknytning till flera medlemsstater. En personuppgiftsincident har anknytning till flera medlemsstater om något av följande gäller:

  • incidenten påverkar behandlingar av personuppgifter som äger rum inom ramen för verksamhet i flera länder inom EU
  • incidenten i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat.

För att veta vilken tillsynsmyndighet som är ansvarig tillsynsmyndighet måste ni ta reda på var er huvudsakliga eller enda del av verksamheten finns. Ert huvudsakliga eller enda verksamhetsställe finns:

  • där ni har er centrala förvaltning (huvudkontor), om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat verksamhetsställe i unionen och det verksamhetsstället kan få sådana beslut genomförda. I så fall är det verksamhetsstället det huvudsakliga verksamhetsstället.

Innan ni påbörjar en ny personuppgiftsbehandling är det viktigt att ni avgör vilken tillsynsmyndighet som kommer att bli er ansvariga tillsynsmyndighet, så att ni vet till vilken tillsynsmyndighet ni ska vända er till om en incident skulle inträffa. Observera att ni kan ha olika ansvariga tillsynsmyndigheter för olika personuppgiftsbehandlingar om ni fastställer ändamål och medel för olika personuppgiftsbehandlingar på olika platser inom EU.

Fundera över om det är möjligt att låta ett verksamhetsställe fatta beslut om flera olika personuppgiftsbehandlingar. Då slipper ni ha kontakt med flera olika tillsynsmyndigheter för olika personuppgiftsbehandlingar.

Den ansvariga tillsynsmyndigheten kommer att dela med sig av anmälan till andra "berörda" tillsynsmyndigheter. När ni anmäler en gränsöverskridande personuppgiftsincident till Datainspektionen kommer ni att ombes att ange vilka andra medlemsstater som berörs av incidenten.

En tillsynsmyndighet är en "berörd tillsynsmyndighet" om något av följande är uppfyllt:

  • ni har ett verksamhetsställe i det land där tillsynsmyndigheten finns
  • de registrerade i det land där tillsynsmyndigheten finns i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av incidenten.