meny

Anmäl personuppgiftsincident enligt brottsdatalagen

Här kan du läsa mer om och anmäla personuppgiftsincidenter enligt brottsdatalagen. Observera att informationen endast gäller personuppgiftsincidenter enligt brottsdatalagen och inte enligt dataskyddsförordningen. 

Myndigheter och andra aktörer som omfattas av brottsdatalagen

 

Inte för incidenter enligt dataskyddsförordningen

Datainspektionens blankett ska enbart användas för att anmäla personuppgiftsincidenter enligt brottsdatalagen. Anmälan om incidenter enligt dataskyddsförordningen gör du genom vår e-tjänst rapport om personuppgiftsincident enligt Dataskyddsförordningen

Inte för incidenter enligt säkerhetsskyddslagstiftningen

Datainspektionens blankett ska enbart användas för att anmäla personuppgiftsincidenter enligt brottsdatalagen. Anmäl inte incidenter som ska rapporteras enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning och föreskrifter.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett avsiktligt eller inte.

En personuppgiftsincident kan till exempel vara att:

  • personuppgifter har skickats till fel mottagare
  • tillgången till personuppgifterna har förlorats
  • datautrustning som lagrar personuppgifter har tappats bort eller stulits
  • någon inom eller utanför organisationen tar del av information som den saknar behörighet till

En personuppgiftsincident kan medföra risker för den registrerades rättigheter eller friheter. Incidenten kan leda till fysisk, materiell eller immateriell skada till exempel genom:

  • diskriminering, identitetsstöld, identitetsbedrägeri
  • skadat anseende
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt

När en personuppgiftsincident har inträffat

När en personuppgiftsincident har inträffat måste ni först fastställa allvaret och risken för människors rättigheter och friheter. Om det är troligt att incidenten kommer att medföra en risk för de registrerade måste ni meddela Datainspektionen. Om det är osannolikt att en personuppgiftsincident medför risker behöver ni inte meddela oss.

Någon anmälan behöver till exempel inte göras om incidenten har påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig.

Dokumentera alltid

Även om ni bestämmer er för att inte anmäla incidenten, måste ni dokumentera händelsen och kunna motivera ert beslut. Dokumentationen ska redovisa omständigheterna kring incidenten, dess effekter och de åtgärder som vidtagits.

Vidta tekniska och organisatoriska åtgärder

Så fort ni blir medvetna om att en personuppgiftsincident har skett ska ni vidta nödvändiga åtgärder för att mildra eventuella negativa konsekvenser.

Krav på rutiner för personuppgiftsincidenter

För att kunna leva upp till skyldigheterna enligt brottsdatalagen är det viktigt att ha rutiner för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter och för att dokumentera dem.

Om en personuppgiftsincident inträffar hos ett personuppgiftsbiträde måste biträdet omedelbart rapportera incidenten till den personuppgiftsansvariga. Se till att ha tydliga instruktioner till era personuppgiftsbiträden om hur de ska rapportera en personuppgiftsincident till er.

När ska en personuppgiftsincident anmälas?

Först behöver ni ta ställning till om personuppgiftsincidenten rör personuppgiftsbehandling som faller under brottsdatalagen. Incidenter enligt dataskyddsförordningen anmäls i stället genom Datainspektionens e-tjänst.

Anmäl personuppgiftsincidenten inom 72 timmar efter det att den har upptäckts. All information ska, om möjligt, lämnas samtidigt. Om inte all information finns tillgänglig inom 72 timmar kan ni komplettera senare.

Även om incidenten inträffat hos ett personuppgiftsbiträde är det ni som personuppgiftsansvarig som ska meddela Datainspektionen. Ansvaret för att anmäla personuppgiftsincidenten ligger alltid kvar hos den personuppgiftsansvariga.

Hur görs anmälan?

Gör en anmälan genom att fylla i vår pdf-blankett nedan, skriva ut den och skicka den till oss via brev. Den ska alltså inte skickas via e-post. Om ni anser att det behövs kan ni skicka anmälan som rekommenderat brev.
Adressera brevet:
Datainspektionen
Box 8114
104 20 Stockholm

Anmälan av personuppgiftsincident enligt brottsdatalagen

Enligt brottsdatalagen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Eftersom en incidentanmälan skickas via fysiskt brev till Datainspektionen, tar vi hänsyn till tiden det tar för brevet att nå oss.

Kompletterande uppgifter

Information som inte kan lämnas inom 72 timmar från upptäckt ska skickas in så snart som möjligt som kompletterande uppgifter. Observera att ni då endast ska lämna den information som tidigare saknades. Ni ska alltså inte fylla i alla uppgifter en gång till.

Datainspektionen skickar inga påminnelser om kompletteringar. Har ni uppgett att ni ska lämna kompletteringar i efterhand är ni själva ansvariga för att skicka in dem. Utan kompletteringarna kan följden bli att er anmälan inte anses vara komplett. Detta kan i så fall vara en anledning till att Datainspektionen inleder tillsyn.

Vid frågor

Vid frågor om personuppgiftsincidenter kan ni kontakta Datainspektionen via mejl på personuppgiftsincidenter@datainspektionen.se eller via telefon på 08-657 61 00. Våra ordinarie telefontider är kl. 9.00–11.00 måndag, tisdag, torsdag och fredag och kl. 9.30–11.30 på onsdagar. Avvikande tider kan förekomma.