När bristande resurser inte är en ursäkt vid en personuppgiftsincident

Personuppgiftsincidenter är inte bara ett storföretagsproblem – även mindre verksamheter drabbas. En felaktigt skickad faktura, ett borttappat USB-minne eller en hackad e-post kan räcka för att ett företag ska stå inför GDPR-krav på både åtgärder och rapportering.

Trots detta saknar många mindre företag en beredskap för incidenthantering. Enligt dataskyddsförordningen har alla personuppgiftsansvariga ett grundläggande ansvar, oavsett storlek eller resurser.

Vad krävs av små företag vid en personuppgiftsincident?

Enligt GDPR ska incidenter som innebär en risk för individers rättigheter anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Detta gäller även små bolag, som måste kunna visa att de har agerat ansvarsfullt och strukturerat vid händelsen.

Konkreta krav som även små företag behöver uppfylla:

• Ha förmåga att upptäcka och dokumentera incidenter snabbt och korrekt.
• Bedöma om incidenten innebär en risk för de registrerade.
• Anmäla till Integritetsskyddsmyndigheten om det inte är osannolikt att incidenten leder till risk för de registrerade.
• Informera de registrerade om risken är hög.
• Kunna visa upp rutiner och dokumentation vid eventuell granskning.

Även om lösningarna ofta kan vara enklare för ett mindre bolag, måste grundprinciperna vara desamma. Det är inte acceptabelt att avstå från åtgärder med hänvisning till att man är liten – det är just då riskerna ofta blir mer påtagliga.

På Morling Consulting hjälper våra GDPR-jurister små företag att förstå sina skyldigheter, sätta upp rutiner och agera korrekt vid incidenter. Vi erbjuder både förebyggande stöd och akut hjälp i skarpa lägen.