Personuppgiftsincident

Så anmäler du en personuppgiftsincident till Datainspektionen

Om du upptäcker en personuppgiftsincident* är det viktigt att du snabbt för vidare information till ansvarig person i er organisation. Detta eftersom det finns ett krav att anmäla många typer av personuppgiftsincidenter till Datainspektionen. 

Alla personuppgiftsincidenter ska dokumenteras, oavsett om de anmäls till Datainspektionen eller inte. 

Hur anmäler jag en personuppgiftsincident?  

En personuppgiftsincident ska anmälas av den personuppgiftsansvarig inom 72 timmar från att den upptäcktes. Anmälan görs genom att du fyller i en blankett hos Datainspektionen

Anmälan syftar till att göra det möjligt för Datainspektionen att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det som inträffat. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.   

Anmälan ska bland annat omfatta följande:  

1.Beskrivning av personuppgiftsincidentens art, och om det är möjligt:

  • Antalet registrerade som omfattas 
  • De kategorier av registrerade som omfattas 
  • Antalet personuppgifter som omfattas 
  • De kategorier av personuppgifter som omfattas
  • Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten

2. Beskrivning av vad ni har gjort. Om ni har vidtagit åtgärder eller avser att vidta åtgärder för att lösa problem, förebygga eller mildra effekterna av incidenten.   

Om ni inte har tillgång till all information som incidentrapporten ska omfatta vid tiden för anmälan (inom 72 timmar) ska ni ändå skicka in den. Ni kan komplettera med den informationen senare om det sker utan onödigt dröjsmål. 

Länk till Datainspektionens blankett för anmälan av personuppgiftsincident 


*Vad är en personuppgiftsincident?

En personuppgiftsincident kan exempelvis vara att uppgifter läcker ur ett system eller att ett dataintrång sker. Men det kan även vara en borttappad arbetstelefon eller att uppgifter inte är tillgängliga för en registrerad för att ett system ligger nere.  

Vi har tidigare skrivit om hur viktigt det är att sätta upp rutiner för personuppgiftsincidenter. Läs om detta här.