Anmäl personuppgiftsincident enligt brottsdatalagen
Undrar ni vilka verksamheter som omfattas av brottsdatalagen?
Brottsbekämpande verksamheter och personuppgiftsbehandling
Inte för incidenter enligt dataskyddsförordningen
Ska du anmäla en personuppgiftsincidenter enligt dataskyddsförordningen? Då ska du använda vår e-tjänst.
Inte för incidenter enligt säkerhetsskyddslagstiftningen
Anmäl inte incidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585) och tillhörande förordning och föreskrifter.
Vad är en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett avsiktligt eller inte.
En personuppgiftsincident kan till exempel vara att:
- personuppgifter har skickats till fel mottagare
- tillgången till personuppgifterna har förlorats
- datautrustning som lagrar personuppgifter har tappats bort eller stulits
- någon inom eller utanför organisationen tar del av information som den saknar behörighet till
En personuppgiftsincident kan medföra risker för den registrerades rättigheter eller friheter. Incidenten kan leda till fysisk, materiell eller immateriell skada till exempel genom
- diskriminering, identitetsstöld, identitetsbedrägeri
- skadat anseende
- finansiell förlust
- brott mot sekretess eller tystnadsplikt
Krav på rutiner
För att kunna leva upp till skyldigheterna enligt brottsdatalagen är det viktigt att ha rutiner för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter och för att dokumentera dem.
Om en personuppgiftsincident inträffar hos ett personuppgiftsbiträde måste biträdet omedelbart rapportera incidenten till den personuppgiftsansvariga. Se till att ha tydliga instruktioner till era personuppgiftsbiträden om hur de ska rapportera en personuppgiftsincident till er.
När en personuppgiftsincident har inträffat
När en personuppgiftsincident har inträffat måste ni först fastställa allvaret och risken för människors rättigheter och friheter. Om det är troligt att incidenten kommer att medföra en risk för de registrerade måste ni meddela Integritetsskyddsmyndigheten. Om det är osannolikt att en personuppgiftsincident medför risker behöver ni inte meddela oss.
Någon anmälan behöver till exempel inte göras om incidenten har påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig.
När ska ni anmäla personuppgiftsincident?
Först behöver ni ta ställning till om personuppgiftsincidenten rör personuppgiftsbehandling som faller under brottsdatalagen.
Anmäl personuppgiftsincidenten inom 72 timmar efter det att den har upptäckts. All information ska, om möjligt, lämnas samtidigt. Om inte all information finns tillgänglig inom 72 timmar kan ni komplettera senare.
Även om incidenten inträffat hos ett personuppgiftsbiträde är det ni som personuppgiftsansvarig som ska meddela oss. Ansvaret för att anmäla personuppgiftsincidenten ligger alltid kvar hos den personuppgiftsansvariga.
Gör så här
- Spara ner blanketten på din dator.
- Öppna den i Adobe Reader.
- Fyll i alla fält i blanketten noggrant, spara den och skriv ut.
- Skicka in blanketten till med brev till oss. Om ni anser att det behövs kan ni skicka anmälan som rekommenderat brev. Skicka inte med e-post.
Skicka till:
Integritetsskyddsmyndigheten
Box 8114
104 20 Stockholm
Enligt brottsdatalagen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Eftersom anmälan skickas via fysiskt brev till oss, tar vi hänsyn till tiden det tar för brevet att nå oss.