Hoppa till innehåll på sidan

Gränsöverskridande personuppgifts­incidenter

En personuppgiftsincident kan ha anknytning till flera medlemsstater. Sådana incidenter ska anmälas till den tillsynsmyndighet som ni som personuppgiftsansvarig har bedömt är ansvarig tillsynsmyndighet.

Anmäl alla personuppgiftsincidenter till er ansvariga tillsynsmyndighet även om en personuppgiftsincident har anknytning till flera medlemsstater som i följande fall:

  • Incidenten påverkar behandlingar av personuppgifter som äger rum inom ramen för verksamhet i flera länder inom EU.
  • Incidenten i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat.

Huvudsakligt verksamhetsställe

För att veta vilken tillsynsmyndighet som är ansvarig tillsynsmyndighet måste ni ta reda på var er huvudsakliga eller enda del av verksamheten finns.

Ert huvudsakliga eller enda verksamhetsställe finns där ni har er centrala förvaltning (huvudkontor), om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat verksamhetsställe i unionen och det verksamhetsstället kan få sådana beslut genomförda. I så fall är detta verksamhetsställe det huvudsakliga.

Ansvarig tillsynsmyndighet

Innan ni påbörjar en ny personuppgiftsbehandling är det viktigt att ni avgör vilken tillsynsmyndighet som kommer att bli er ansvariga tillsynsmyndighet, så att ni vet till vilken tillsynsmyndighet ni ska vända er om en incident inträffar. Observera att ni kan ha olika ansvariga tillsynsmyndigheter för olika personuppgiftsbehandlingar om ni fastställer ändamål och medel för olika personuppgiftsbehandlingar på olika platser inom EU.

Fundera över om det är möjligt att låta ett verksamhetsställe fatta beslut om flera olika personuppgiftsbehandlingar. Då slipper ni ha kontakt med flera olika tillsynsmyndigheter för olika personuppgiftsbehandlingar.

Den ansvariga tillsynsmyndigheten kommer att dela med sig av anmälan till andra berörda tillsynsmyndigheter. När ni anmäler en gränsöverskridande personuppgiftsincident till oss på IMY ber vi er att ange vilka andra medlemsstater som berörs av incidenten.

En tillsynsmyndighet är en berörd tillsynsmyndighet om något av följande är uppfyllt:

  • ni har ett verksamhetsställe i det land där tillsynsmyndigheten finns
  • de registrerade i det land där tillsynsmyndigheten finns i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av incidenten.
Senast uppdaterad: 12 april 2021
Sidans etiketter Dataskydd