meny

Hur du anmäler

Ni anmäler personuppgiftsincidenter genom att fylla i en blankett och skicka till Datainspektionen via brev. Om ni anser att det behövs, kan ni skicka anmälan som rekommenderat brev.

Adressera kuvertet:
Datainspektionen
Box 8114
104 20 Stockholm

Blankett PersonuppgiftsincidentBlankett för Anmälan av personuppgiftsincident Svensk
Blankett för Anmälan av personuppgiftsincident Engelsk

Blankett för Anmälan av gränsöverskridande personuppgiftsincident Svensk
Blankett för Anmälan av gränsöverskridande personuppgiftsincident Engelsk

Det finns två olika blanketter: "Anmälan av personuppgiftsincident" och "Anmälan av gränsöverskridande personuppgiftsincident". Blanketterna finns på svenska och engelska.
Om ni ska anmäla en incident som enbart har inträffat i Sverige och enbart har drabbat registrerade i Sverige – ska ni använda blanketten "Anmälan av personuppgiftsincident" (innehåller blå fält).
Om ni ska anmäla en incident som är gränsöverskridande, det vill säga om incidenten har inträffat i flera länder eller påverkat registrerade i andra länder – ska ni använda blanketten "Anmälan av gränsöverskridande personuppgiftsincident" (innehåller gröna fält). Observera att endast incidenter som upptäckts efter kl. 00.00 den 25 maj ska anmälas till Datainspektionen.

Kompletterande uppgifter

Den information som inte kan lämnas inom 72 timmar från upptäckt, ska ni i efterhand skicka in som kompletterande uppgifter. Detta ska ske så snart som möjligt. Observera att ni i så fall endast ska lämna den information som tidigare saknades. Ni ska alltså inte fylla i alla uppgifter en gång till.

Enligt dataskyddsförordningen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Då ni skickar in en incidentanmälan via fysiskt brev till Datainspektionen, kommer vi att ta hänsyn till tiden det tar för brevet att nå oss. 

Se till att ha den senaste versionen av blanketterna

Blanketterna kan komma att ändras. Se därför till att ni alltid laddar ner den senaste versionen innan ni skickar in den till oss.

Versionsnummer på blanketterna är för närvarande 1.3.

Om du har frågor om personuppgiftsincidenter kan du kontakta Datainspektionen via e-post på personuppgiftsincident@datainspektionen.se eller via telefon på 08-657 61 00. Våra telefontider är kl. 9:00–11:00 måndag, tisdag, torsdag och fredag och kl. 9:30–11:30 på onsdagar. Avvikande tider kan förekomma.

Inte för incidenter som gäller brottsdatalagen

Blanketterna ovan ska endast användas för att anmäla personuppgiftsincidenter enligt dataskyddsförordningen, inte för anmälningar som gäller brottsdatalagen. Mer information om brottsdatalagen och hur du anmäler incidenter som omfattas av denna kan du läsa mer om här på vår webbplats:

Läs mer om brottsdatalagen

Kommande e-tjänst
Datainspektionen arbetar med att ta fram en e-tjänst med autentiseringslösning för att du ska kunna anmäla personuppgiftsincidenter till oss online. E-tjänsten blir i form av en portal med ett e-formulär. Vi kommer inte att kunna erbjuda api-lösningar eller andra integrerade metoder för anmälan. Det är ännu oklart när e-tjänsten kan vara klar och i drift.

Om frågorna i blanketten

Vi kommer att sträva efter att hålla nere antalet frågor och att använda styrda svarsalternativ i e-tjänstens formulär, men ibland finns även fritextfält. Skriv gärna kortfattat och undvik känslig information i fritextfälten. Vi kommer bland annat att fråga efter följande uppgifter:

Personuppgiftsansvarig

  • Organisationens namn, kontaktuppgifter
  • Namn på personuppgiftsbiträden, underbiträden

Kontaktperson för anmälan

  • Kontaktuppgifter till den person som Datainspektionen kan kontakta

Personuppgiftsincidenten

  • Har personuppgiftsincidenten medfört en risk för de registrerades fri- och rättigheter?
  • När inträffade personuppgiftsincidenten?
  • När upptäckte ni personuppgiftsincidenten?
  • Vad har hänt vid personuppgiftsincidenten?
  • Hur upptäckte ni personuppgiftsincidenten?
  • Varför inträffade personuppgiftsincidenten enligt din eller organisationens uppfattning?
  • Inom vilket verksamhetsområde inträffade personuppgiftsincidenten?

Personuppgifterna och de registrerade

  • Hur många registrerade har påverkats?
  • Hur många personuppgiftsposter har personuppgiftsincidenten påverkat?
  • Vilka grupper tillhör de registrerade?
  • Vilken sorts personuppgifter berörs av personuppgiftsincidenten?
  • Var personuppgifterna krypterade?

Konsekvenser

  • Vad kan bli konsekvenserna av personuppgiftsincidenten?
  • Hur allvarlig bedömer ni att personuppgiftsincidenten är?

Information till de registrerade

  • Har ni informerat de registrerade om personuppgiftsincidenten? När?
  • Kommer ni att informera de registrerade? När? Om inte, varför kommer ni inte att informera de registrerade?

Sen anmälan

  • Om anmälan kommer in senare än 72 timmar efter att ni upptäckte personuppgiftsincidenten ska ni beskriva varför.

Komplettering

  • Om ni kommer att komplettera anmälan, beskriv varför.

Sekretess

  • Om du har skrivit något som du anser bör omfattas av sekretess, beskriv det.

Tänk på sekretessen

Allt du rapporterar in blir så kallad allmän handling som kan begäras ut av allmänheten och massmedier. Skriv därför inte mer än nödvändigt i fritextfälten och undvik känsliga uppgifter. Om någon begär ut uppgifterna gör vi en sekretessprövning för att undersöka om uppgifterna kan anses vara offentliga och därmed  kan lämnas ut, i sin helhet eller delvis. Om du ändå väljer att skriva något som  du anser bör vara sekretessbelagt, använd fritextfältet sist i blanketten för att beskriva vad och varför.

Obs! Det är Datainspektionen som slutligen avgör om en handling kan lämnas ut eller inte.

Allmän handling

En handling är allmän om den förvaras hos en myndighet och har skickats in dit eller upprättats där. Den kan bestå av text, bild, information som lagrats i dator med mera. Om en allmän handling blir offentlig eller sekretessbelagd beror på innehållet i handlingen.

Hur vi lämnar ut information om personuppgiftsincidenter

Personuppgiftsincidenter rapporteras till Datainspektionen via en blankett som skickas till myndigheten och som då blir en allmän handling. Rätten för exempelvis enskilda personer och massmedia att ta del av allmänna handlingar kan begränsas genom sekretess. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400).

När Datainspektionen får en begäran att lämna ut allmänna handlingar prövar Datainspektionen om handlingen ska lämnas ut. För handlingar som rör personuppgiftsincidenter gäller bland annat sekretess för uppgifter om säkerhetsåtgärder om det kan antas att syftet med åtgärden motverkas om åtgärden blir offentlig. Hit hör typiskt även uppgift om ingivaren av en incidentrapport.

Därför lämnar Datainspektionen normalt sett inte ut detaljerade uppgifter om inträffade incidenter som avslöjar säkerhetsåtgärder eller uppgifter som gör det möjligt att härleda vilket företag eller vilken organisation som rapporterat en viss incident.

Datainspektionen uppmanar organisationer som rapporterar in incidenter att inte ange fler uppgifter än vad som är nödvändigt i fritextfälten. Om ni ändå väljer att skriva något som ni anser bör omfattas av sekretess, använd fritextfältet sist i formuläret.