Hoppa till innehåll på sidan

Anmäl personuppgifts­incident enligt brottsdatalagen

Här kan du läsa mer om och anmäla personuppgiftsincidenter enligt brottsdatalagen.

Undrar ni vilka verksamheter som omfattas av brottsdatalagen?

Brottsbekämpande verksamheter och personuppgiftsbehandling

Inte för incidenter enligt dataskyddsförordningen

Ska du anmäla en personuppgiftsincidenter enligt dataskyddsförordningen? Då ska du använda vår e-tjänst.

Anmäl personuppgiftsincident enligt dataskyddsförordningen

Inte för incidenter enligt säkerhetsskyddslagstiftningen

Anmäl inte incidenter som ska rapporteras enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning och föreskrifter.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett avsiktligt eller inte.

En personuppgiftsincident kan till exempel vara att:

  • personuppgifter har skickats till fel mottagare
  • tillgången till personuppgifterna har förlorats
  • datautrustning som lagrar personuppgifter har tappats bort eller stulits
  • någon inom eller utanför organisationen tar del av information som den saknar behörighet till


En personuppgiftsincident kan medföra risker för den registrerades rättigheter eller friheter. Incidenten kan leda till fysisk, materiell eller immateriell skada till exempel genom

  • diskriminering, identitetsstöld, identitetsbedrägeri
  • skadat anseende
  • finansiell förlust
  • brott mot sekretess eller tystnadsplikt

Krav på rutiner

För att kunna leva upp till skyldigheterna enligt brottsdatalagen är det viktigt att ha rutiner för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter och för att dokumentera dem.

Om en personuppgiftsincident inträffar hos ett personuppgiftsbiträde måste biträdet omedelbart rapportera incidenten till den personuppgiftsansvariga. Se till att ha tydliga instruktioner till era personuppgiftsbiträden om hur de ska rapportera en personuppgiftsincident till er.

När en personuppgiftsincident har inträffat

När en personuppgiftsincident har inträffat måste ni först fastställa allvaret och risken för människors rättigheter och friheter. Om det är troligt att incidenten kommer att medföra en risk för de registrerade måste ni meddela Integritetsskyddsmyndigheten. Om det är osannolikt att en personuppgiftsincident medför risker behöver ni inte meddela oss.

Någon anmälan behöver till exempel inte göras om incidenten har påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig.

Även om ni bestämmer er för att inte anmäla incidenten, måste ni dokumentera händelsen och kunna motivera ert beslut. Dokumentationen ska redovisa omständigheterna kring incidenten, dess effekter och de åtgärder som vidtagits.

Så fort ni blir medvetna om att en personuppgiftsincident har skett ska ni vidta nödvändiga åtgärder för att mildra eventuella negativa konsekvenser.

 

När ska ni anmäla personuppgiftsincident?

Först behöver ni ta ställning till om personuppgiftsincidenten rör personuppgiftsbehandling som faller under brottsdatalagen.

Anmäl personuppgiftsincidenten inom 72 timmar efter det att den har upptäckts. All information ska, om möjligt, lämnas samtidigt. Om inte all information finns tillgänglig inom 72 timmar kan ni komplettera senare.

Även om incidenten inträffat hos ett personuppgiftsbiträde är det ni som personuppgiftsansvarig som ska meddela oss. Ansvaret för att anmäla personuppgiftsincidenten ligger alltid kvar hos den personuppgiftsansvariga.

Gör så här

  1. Spara ner blanketten på din dator.
  2. Öppna den i Adobe Reader.
  3. Fyll i alla fält i blanketten noggrant, spara den och skriv ut.
  4. Skicka in blanketten till med brev till oss. Om ni anser att det behövs kan ni skicka anmälan som rekommenderat brev. Skicka inte med e-post.

Skicka till:
Integritetsskyddsmyndigheten
Box 8114
104 20 Stockholm

Blankett för anmälan (pdf, 966 kB)

 

Enligt brottsdatalagen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Eftersom anmälan skickas via fysiskt brev till oss, tar vi hänsyn till tiden det tar för brevet att nå oss.

Information som ni inte kan lämna inom 72 timmar från upptäckt ska ni skicka in så snart som möjligt som kompletterande uppgifter. Observera att ni då endast ska lämna den information som tidigare saknades. Ni ska inte fylla i alla uppgifter en gång till.

Vi skickar inga påminnelser om kompletteringar. Har ni uppgett att ni ska lämna kompletteringar i efterhand är ni själva ansvariga för att skicka in dem. Utan kompletteringarna kan följden bli att er anmälan inte anses vara komplett. Detta kan i så fall vara en anledning till att vi inleder tillsyn.

Senast uppdaterad: 07 september 2021
Sidans etiketter Dataskydd, Brottsbekämpning