meny

Anmäl incident

Ni anmäler personuppgiftsincidenter genom att fylla i en blankett och skicka till Datainspektionen via brev. Enligt dataskyddsförordningen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Då ni skickar in en incidentanmälan via fysiskt brev till Datainspektionen, tar vi hänsyn för tiden det tar för brevet att nå oss. 

Anmälan skickas till: 
Datainspektionen
Box 8114
104 20 Stockholm

Välj rätt blankett

Det finns två olika blanketter: "Anmälan av personuppgiftsincident" och "Anmälan av gränsöverskridande personuppgiftsincident". Blanketterna finns på svenska och engelska.

  • Om ni ska anmäla en incident som enbart har inträffat i Sverige och enbart har drabbat registrerade i Sverige – ska ni använda blanketten "Anmälan av personuppgiftsincident" (innehåller blå fält).
  • Om ni ska anmäla en incident som är gränsöverskridande, det vill säga om incidenten har inträffat i flera länder eller påverkat registrerade i andra länder – ska ni använda blanketten "Anmälan av gränsöverskridande personuppgiftsincident" (innehåller gröna fält). Observera att endast incidenter som upptäckts efter kl. 00.00 den 25 maj 2018 ska anmälas till Datainspektionen.

Blankett PersonuppgiftsincidentBlankett för Anmälan av personuppgiftsincident Svensk
Blankett för Anmälan av personuppgiftsincident Engelsk

Blankett för Anmälan av gränsöverskridande personuppgiftsincident Svensk
Blankett för Anmälan av gränsöverskridande personuppgiftsincident Engelsk

Bedriver ni säkerhetskänslig verksamhet?

Observera att om ni bedriver säkerhetskänslig verksamhet så kan ni även ha en skyldighet att anmäla incidenten enligt säkerhetsskyddslagstiftningen. En sådan incident ska skyndsamt anmälas till Säkerhetspolisen, www.sakerhetspolisen.se och i vissa fall även till Försvarsmakten www.forsvarsmakten.se

Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658).

Behöver incidenten anmälas?

Vi uppmanar personuppgiftsansvariga att ta del av den Europeiska dataskyddsstyrelsens (EDPB) riktlinjer om Anmälan av personuppgiftsincidenter, särskilt exemplen på incidenter som inte behöver anmälas till Datainspektionen. I dessa fall är det tillräckligt att incidenterna dokumenteras internt inom organisationen.

Anmälan av personuppgiftsincidenter – EDPB:s riktlinjer

Felaktiga brevutskick i olika former (till exempel per post, e-post eller sms) som inte innehåller några känsliga personuppgifter, inte berör en stor mängd personer eller inte innebär en hög risk i övrigt, behöver inte anmälas till Datainspektionen utan endast dokumenteras internt.

Så här lämnar vi ut information om personuppgiftsincidenter

När ni gjort en anmälan och rapporterat en personuppgiftsincident till Datainspektionen blir blanketten och innehållet en allmän handling. Rätten för exempelvis enskilda personer och massmedia att ta del av allmänna handlingar kan begränsas genom sekretess. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400).

När Datainspektionen får en begäran att lämna ut allmänna handlingar prövar vi om handlingen ska lämnas ut. För handlingar som rör personuppgiftsincidenter gäller sekretess för exempelvis uppgifter om

  • säkerhetsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut, och
  • enskildas personliga eller ekonomiska förhållanden om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgifterna lämnas ut.

Vem som är ingivare av incidentrapporten omfattas därför normalt av sekretess. Detsamma gäller detaljerade uppgifter om inträffade incidenter. De uppgifter som omfattas av sekretessen maskas om en handling ska lämnas ut därför att den i övrigt innehåller uppgifter som inte omfattas av sekretess. Datainspektionen lämnar normalt ut handlingar som rör rapporterade incidenter om felaktiga brevutskick som inte innehåller känsliga personuppgifter. Detsamma gäller rapporter om incidenter som är allmänt kända, till exempel genom media, men även i sådana fall lämnar Datainspektionen normalt sett inte ut uppgifter om eventuella tredje parter, såsom namn på anlitade personuppgiftsbiträden.

Kom ihåg att inte ange fler uppgifter än vad som är nödvändigt i fritextfälten när ni fyller i blanketten för personuppgiftsincidenter. Om ni ändå väljer att skriva något som ni anser bör omfattas av sekretess, använd fritextfältet sist i formuläret för att beskriva vad och varför.

Obs! Det är Datainspektionen som slutligen avgör om en handling kan lämnas ut eller inte.

Har du frågor?

Om du har frågor om personuppgiftsincidenter kan du kontakta Datainspektionen via e-post på personuppgiftsincident@datainspektionen.se eller via telefon på 08-657 61 00. Våra telefontider är kl. 9:00–11:00 måndag, tisdag, torsdag och fredag och kl. 9:30–11:30 på onsdagar. Avvikande tider kan förekomma.