meny

E-tjänst för att rapportera personuppgiftsincidenter

Datainspektionen håller på att ta fram en e-tjänst med autentiseringslösning för att du ska kunna anmäla personuppgiftsincidenter till oss. E-tjänsten blir tillgänglig på vår webbplats senare under året. Fram till dess görs anmälningar genom att fylla i vår pdf-blankett och skicka till oss via brev. Om ni anser att det behövs, kan ni skicka anmälan som rekommenderat brev.

Adressera kuvertet:
Datainspektionen
Box 8114
104 20 Stockholm

Blankett för Anmälan av personuppgiftsincident Svensk
Blankett för Anmälan av personuppgiftsincident Engelsk

Blankett för Anmälan av gränsöverskridande personuppgiftsincident Svensk
Blankett för Anmälan av gränsöverskridande personuppgiftsincident Engelsk

Det finns två olika blanketter: "Anmälan av personuppgiftsincident" och "Anmälan av gränsöverskridande personuppgiftsincident". Blanketterna finns på svenska och engelska.
Om ni ska anmäla en incident som enbart har inträffat i Sverige och enbart har drabbat registrerade i Sverige – ska ni använda blanketten "Anmälan av personuppgiftsincident" (innehåller blå fält).
Om ni ska anmäla en incident som är gränsöverskridande, det vill säga om incidenten har inträffat i flera länder eller påverkat registrerade i andra länder – ska ni använda blanketten "Anmälan av gränsöverskridande personuppgiftsincident" (innehåller gröna fält). Observera att endast incidenter som upptäcks efter kl. 00.00 den 25 maj ska anmälas till Datainspektionen.

Kompletterande uppgifter

Den information som inte kan lämnas inom 72 timmar från upptäckt, ska ni i efterhand skicka in som kompletterande uppgifter. Detta ska ske så snart som möjligt. Observera att ni i så fall endast ska lämna den information som tidigare saknades. Ni ska alltså inte fylla i alla uppgifter en gång till.

Enligt dataskyddsförordningen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Då ni skickar in en incidentanmälan via fysiskt brev till Datainspektionen, kommer vi att ta hänsyn till tiden det tar för brevet att nå oss. 

Beträffande formuläret för personuppgiftsincidenter

Vi har lagt till ett nytt fält i formuläret för personuppgiftsincidenter, och några nya svarsalternativ. Det kan eventuellt komma att läggas till något ytterligare fält framöver. Se därför till att ni alltid laddar ner den senaste versionen av vårt formulär, innan ni skickar in det till oss.

Versionsnummer på formuläret är för närvarande 1.1.

Om du har frågor om personuppgiftsincidenter kan du kontakta Datainspektionen via mejl på personuppgiftsincident@datainspektionen.se eller via telefon på 08-657 61 00. Våra telefontider är kl. 9:00–11:00 måndag, tisdag, torsdag och fredag och kl. 9:30–11:30 på onsdagar. Avvikande tider kan förekomma.

Inte för incidenter som gäller brottsdatalagen

E-tjänsten ska endast användas för att anmäla personuppgiftsincidenter, inte för anmälningar som gäller brottsdatalagen.

Mer information om brottsdatalagen och hur du anmäler incidenter som omfattas av denna kommer längre fram.

Läs mer om brottsdatalagen

Frågorna i formuläret

Vi kommer att sträva efter att hålla nere antalet frågor och att använda styrda svarsalternativ i e-tjänstens formulär, men ibland finns även fritextfält. Skriv gärna kortfattat och undvik känslig information i fritextfälten.

Vi kommer bland annat att fråga efter följande uppgifter:

Personuppgiftsansvarig

  • Organisationens namn, kontaktuppgifter
  • Namn på personuppgiftsbiträden, underbiträden

Kontaktperson för anmälan

  • Kontaktuppgifter till den person som Datainspektionen kan kontakta

Personuppgiftsincidenten

  • Har personuppgiftsincidenten medfört en risk för de registrerades fri- och rättigheter?
  • När inträffade personuppgiftsincidenten?
  • När upptäckte ni personuppgiftsincidenten?
  • Vad har hänt vid personuppgiftsincidenten?
  • Hur upptäckte ni personuppgiftsincidenten?
  • Varför inträffade personuppgiftsincidenten enligt din eller organisationens uppfattning?
  • Inom vilket verksamhetsområde inträffade personuppgiftsincidenten?

Personuppgifterna och de registrerade

  • Hur många registrerade har påverkats?
  • Hur många personuppgiftsposter har personuppgiftsincidenten påverkat?
  • Vilka grupper tillhör de registrerade?
  • Vilken sorts personuppgifter berörs av personuppgiftsincidenten?
  • Var personuppgifterna krypterade?

Konsekvenser

  • Vad kan bli konsekvenserna av personuppgiftsincidenten?
  • Hur allvarlig bedömer ni att personuppgiftsincidenten är?

Information till de registrerade

  • Har ni informerat de registrerade om personuppgiftsincidenten? När?
  • Kommer ni att informera de registrerade? När? Om inte, varför kommer ni inte att informera de registrerade?

Sen anmälan

  • Om anmälan kommer in senare än 72 timmar efter att ni upptäckte personuppgiftsincidenten ska ni beskriva varför.

Komplettering

  • Om ni kommer att komplettera anmälan, beskriv varför.

Sekretess

  • Om du har skrivit något som du anser bör omfattas av sekretess, beskriv det.

Tänk på sekretessen

Allt du rapporterar in blir så kallad allmän  handling,  som kan begäras ut av allmänheten och massmedier. Skriv därför inte mer än nödvändigt i fritextfälten och undvik känsliga uppgifter.

Om någon begär ut uppgifterna gör vi en sekretessprövning för att undersöka om uppgifterna kan anses vara offentliga och därmed  kan lämnas ut, i sin helhet eller delvis.

Om du ändå väljer att skriva något som  du anser bör vara sekretessbelagt, använd fritextfältet sist i formuläret för att beskriva vad och varför.

Obs! Det är Datainspektionen som slutligen avgör om en handling kan lämnas ut eller inte.

Allmän handling

En handling är allmän om den förvaras hos en myndighet och har skickats in dit eller upprättats där. Den kan bestå av text, bild, information som lagrats i dator med mera. Om en allmän handling blir offentlig eller sekretessbelagd beror på innehållet i handlingen.