Artikel 33

AnmÀlan av en personuppgiftsincident till tillsynsmyndigheten

  • Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmĂ„l och, om sĂ„ Ă€r möjligt, inte senare Ă€n 72 timmar efter att ha fĂ„tt vetskap om den, anmĂ€la personuppgiftsincidenten till den tillsynsmyndighet som Ă€r behörig i enlighet med artikel 55, sĂ„vida det inte Ă€r osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rĂ€ttigheter och friheter. Om anmĂ€lan till tillsynsmyndigheten inte görs inom 72 timmar ska den Ă„tföljas av en motivering till förseningen.
  • PersonuppgiftsbitrĂ€det ska underrĂ€tta den personuppgiftsansvarige utan onödigt dröjsmĂ„l efter att ha fĂ„tt vetskap om en personuppgiftsincident.
  • Den anmĂ€lan som avses i punkt 1 ska Ă„tminstone
    • a) beskriva personuppgiftsincidentens art, inbegripet, om sĂ„ Ă€r möjligt, de kategorier av och det ungefĂ€rliga antalet registrerade som berörs samt de kategorier av och det ungefĂ€rliga antalet personuppgiftsposter som berörs,
    • b) förmedla namnet pĂ„ och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter dĂ€r mer information kan erhĂ„llas,
    • c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
    • d) beskriva de Ă„tgĂ€rder som den personuppgiftsansvarige har vidtagit eller föreslagit för att Ă„tgĂ€rda personuppgiftsincidenten, inbegripet, nĂ€r sĂ„ Ă€r lĂ€mpligt, Ă„tgĂ€rder för att mildra dess potentiella negativa effekter.
  • Om och i den utstrĂ€ckning det inte Ă€r möjligt att tillhandahĂ„lla informationen samtidigt, fĂ„r informationen tillhandahĂ„llas i omgĂ„ngar utan onödigt ytterligare dröjsmĂ„l.
  • Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omstĂ€ndigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande Ă„tgĂ€rder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.