meny

Anmäl personuppgiftsincidenter

För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen är det viktigt att organisationer som behandlar personuppgifter har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Denna skyldighet är en nyhet i dataskyddsförordningen.

Läs mer: På den här sidan finns det översiktlig information. Läs mer om de olika avsnitten på undersidorna via länkar längst ned på sidan. Där hittar du även länkar till relaterad rättsinformation.

Vad är personuppgiftsincidenter?

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

  • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

  • blivit förstörda
  • gått förlorade på annat sätt
  • kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Personuppgiftsincidenter kan vara allvarliga

En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer. De kan råka ut för till exempel ekonomisk skada eller kränkning av sina friheter och rättigheter.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan också påverka tilltron till den organisation som behandlar personuppgifter. Det kan dessutom leda till sanktionsavgifter.

Undvik sanktionsavgifter

Om du inte rapporterar en personuppgiftsincident kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att din organisation måste betala sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av er globala omsättning.

Obs! Sanktionsavgifterna kan kombineras med andra korrigerande befogenheter som Datainspektionen har.

Vissa personuppgiftsincidenter måste anmälas

När dataskyddsförordningen träder i kraft måste alla organisationer anmäla vissa typer av personuppgiftsincidenter till Datainspektionen. Anmäl personuppgiftsincidenten inom 72 timmar efter det att överträdelsen har upptäckts.

Anmälan gör det möjligt för Datainspektionen att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan vi också utöva våra tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Informera registrerade personer

Informera omedelbart de registrerade, det vill säga de personer som drabbas av personuppgiftsincidenten, om det är stor risk att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för id-stöld eller bedrägeri.

Arbeta medvetet med personuppgiftsincidenter

Det är viktigt att arbeta medvetet och proaktivt för att undvika personuppgiftsincidenter:

  • Skapa tydliga rutiner för att enkelt kunna upptäcka personuppgiftsincidenter.
  • Upprätta en handlingsplan för de fall en personuppgiftsincident inträffar.
  • Dokumentera alla personuppgiftsincidenter, även dem som inte måste anmälas till Datainspektionen.

Personuppgiftsbiträdets roll

Om din organisation anlitar ett personuppgiftsbiträde och det inträffar en personuppgiftsincident hos dem, måste personuppgiftsbiträdet omedelbart rapportera till er.

Exempel: Din organisation anlitar en it-leverantör för att arkivera och lagra kunduppgifter. It-leverantören utsätts för ett dataintrång som leder till att obehöriga får åtkomst till uppgifter om era kunder. Eftersom händelsen är en personuppgiftsincident ska it-leverantören omedelbart rapportera detta till den personuppgiftsansvarige, som i sin tur anmäler till Datainspektionen.

Obs! Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger kvar hos den personuppgiftsansvarige.

E-tjänst för att anmäla personuppgiftsincidenter

Vi håller på att ta fram en e-tjänst med en autentiseringslösning för att du ska kunna anmäla personuppgiftsincidenter till oss. E-tjänsten blir tillgänglig på vår webbplats senare under året.

Vi strävar efter att begränsa antalet frågor utifrån kraven i dataskyddsförordningen. På så sätt förenklar e-tjänsten hanteringen både för den som anmäler personuppgiftsincidenter och för oss på Datainspektionen. Fram till dess görs anmälningar genom att fylla i vår pdf-blankett och skicka till oss via brev. 

Läs mer om hur du anmäler personuppgiftsincidenter via blanketterna

Gränsöverskridande personuppgiftsincidenter

Om anmälan gäller en personuppgiftsincident i ett annat land – en så kallad gränsöverskridande personuppgiftsincident – finns det fler frågor att besvara, eftersom länderna inom EU har kommit överens om att använda ett särskilt formulär. Det kommer därför att finnas två formulär: ett för incidenter i Sverige och ett för gränsöverskridande incidenter.

Obs! Det kommer inte att finnas någon API-lösning för anmälan av personuppgiftsincidenter, utan det är e-tjänsten som gäller. (API: Application Programming Interface).

Spara kvittensen för eventuell komplettering

När anmälan har kommit in skickar vi en kvittens. Skriv ut och spara, för på kvittensen finns det en kod som som behövs vid en eventuell komplettering.

Dataskyddsförordningen tar hänsyn till att det inte alltid är möjligt att utreda en personuppgiftsincident fullt ut inom 72 timmar. Om inte all information finns på plats kan du komplettera i ett senare skede.

Läs mer om personuppgiftsincidenter

Via länkarna nedan kan du läsa mer om personuppgiftsincidenter. Det finns också mer information om den kommande e-tjänsten, vad den innehåller och hur du ska använda den.

Mer information

Riktlinjer om anmälan av personuppgiftsincidenter
Läs 29-gruppens riktlinjer om Anmälan av personuppgiftsincidenter.

Rättsinformation
Artikel 33 (anmälan av en personuppgiftsincident till tillsynsmyndigheten)
Artikel 34 (information till den registrerade om en personuppgiftsincident)
Skäl 85–88