meny

Anmäl personuppgiftsincident enligt Brottsdatalagen

Läs mer om och anmäl personuppgiftsincidenter enligt den nya brottsdatalagen

Här kan du läsa mer om och anmäla personuppgiftsincidenter enligt den nya brottsdatalagen. Observera att informationen inte gäller personuppgiftsincidenter enligt dataskyddsförordningen.

Personuppgiftsincidenter enligt dataskyddsförordningen
Myndigheter och andra aktörer som omfattas av brottsdatalagen

Inte för incidenter enligt säkerhetsskyddslagstiftningen

Datainspektionens blankett ska endast användas för att anmäla personuppgiftsincidenter enligt brottsdatalagen. Ni ska inte anmäla incidenter som ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till den lagen.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt.

En personuppgiftsincident kan till exempel vara en händelse där:

  • personuppgifter har skickats till fel mottagare
  • tillgången till personuppgifterna har förlorats
  • datautrustning som lagrar personuppgifter har tappats bort eller stulits
  • någon inom eller utanför organisation tar del av information som den saknar behörighet till

En personuppgiftsincident kan medföra risker för den registrerades rättigheter eller friheter. Incidenten kan leda till fysisk, materiell eller immateriell skada till exempel genom:

  • diskriminering, identitetsstöld, identitetsbedrägeri
  • skadat anseende
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt

När en personuppgiftsincident har skett

När det har inträffat en personuppgiftsincident måste ni först fastställa sannolikheten och allvaret, och den därmed följande risken för människors rättigheter och friheter. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste ni meddela Datainspektionen. Men om det är osannolikt att en personuppgiftsincident medför risker behöver ni inte meddela oss.

Någon anmälan behöver till exempel inte göras om incidenten har påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig.

Dokumentera alltid

Även om ni bestämmer er för att inte anmäla incidenten, måste ni kunna motivera beslutet och dokumentera detta. Av dokumentationen ska framgå omständigheterna rörande incidenten, dess effekter och de åtgärder som vidtagits med anledning av den.

Vidta tekniska och organisatoriska åtgärder

Så fort ni blir medvetna om att en personuppgiftsincident har skett ska ni vidta nödvändiga åtgärder för att åtgärda personuppgiftsincidenten, inbegripet åtgärder för att mildra dess potentiella negativa effekter.

Brottsdatalagen ställer krav på rutiner

För att kunna leva upp till de nya skyldigheterna enligt brottsdatalagen är det viktigt att ni har rutiner på plats för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter samt för att dokumentera dem.

Om det inträffar en personuppgiftsincident hos ett personuppgiftsbiträde måste biträdet omedelbart rapportera incidenten till den personuppgiftsansvarige. Se till att ha tydliga instruktioner till era personuppgiftsbiträden om hur de ska rapportera en personuppgiftsincident till er.

När ska vi anmäla en personuppgiftsincident enligt brottsdatalagen?

Först behöver ni ta ställning till om personuppgiftsincidenten rör personuppgiftsbehandling som faller under brottsdatalagen eller dataskyddsförordningen.

Anmäl personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts. All information ska lämnas samtidigt om det är möjligt. Om inte all information finns på plats inom 72 timmar kan ni komplettera anmälan i ett senare skede.

Även om incidenten inträffat hos ett personuppgiftsbiträde är det ni som personuppgiftsansvarig som ska meddela Datainspektionen. Ansvaret för att anmäla personuppgiftsincidenten ligger alltid kvar hos den personuppgiftsansvarige.

Hur ni anmäler

Observera att endast incidenter som upptäcks efter kl. 00.00 den 1 augusti 2018 ska anmälas till Datainspektionen.

En anmälan görs genom att fylla i vår pdf-blankett och skicka den till oss via brev. Ni ska alltså inte skicka anmälan via e-post. Om ni anser att det behövs kan ni skicka anmälan som rekommenderat brev.

Adressera kuvertet:
Datainspektionen
Box 8114
104 20 Stockholm

Anmälan av personuppgiftsincident enligt brottsdatalagen

Enligt brottsdatalagen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Då ni skickar in en incidentanmälan via fysiskt brev till Datainspektionen, kommer vi att ta hänsyn till tiden det tar för brevet att nå oss.

Kompletterande uppgifter

Den information som inte kan lämnas inom 72 timmar från upptäckt, ska ni i efterhand skicka in som kompletterande uppgifter. Detta ska ske så snart som möjligt. Observera att ni i så fall endast ska lämna den information som tidigare saknades. Ni ska alltså inte fylla i alla uppgifter en gång till.

Datainspektionen skickar inte ut några påminnelser. Uppger ni att ni ska komma in med kompletteringar i efterhand, så är ni själv ansvarig för att skicka in dessa. Utan kompletteringarna kan följden bli att er anmälan inte anses vara komplett. Detta kan i så fall vara en anledning till att Datainspektionen inleder tillsyn.

Om ni har frågor

Om ni har frågor om personuppgiftsincidenter kan ni kontakta Datainspektionen via mejl på personuppgiftsincident@datainspektionen.se eller via telefon på 08-657 61 00. Våra telefontider är kl. 9:00–11:00 måndag, tisdag, torsdag och fredag och kl. 9:30–11:30 på onsdagar. Avvikande tider kan förekomma.