Anmäl personuppgiftsincident

Har de personuppgifter ni hanterar inom er verksamhet förstörts, förlorats eller kommit i orätta händer? Enligt dataskyddsförordningen GDPR ska sådan händelse, sk. personuppgiftsincident, anmälas till Datainspektionen inom 72 h från att ni upptäckt händelsen.

Datainspektionen tillhandahåller en e-tjänst för anmälan av incidenter. All information i anmälan blir en allmän handling. Det innebär att Datainspektionen kan komma att behöva lämna ut uppgifterna om någon begär det. Tänk därför noggrant igenom om du verkligen behöver göra en anmälan. Det är nämligen inte alla personuppgiftsincidenter som behöver anmälas. Är det t.ex. osannolikt att en personuppgiftsincident medfört risker för den registrerade behöver en anmälan inte göras. Så kan t.ex vara fallet vid stöld av en krypterad dator där vissa säkerhetsåtgärder har vidtagits, t.ex. att datorn automatiskt kan rensas från all information.

Även om en inträffad personuppgiftsincident i den enskilda fallet inte behöver anmälas, måste alla personuppgiftsincidenter dokumenteras. Se därför till att löpande dokumentera alla incidenter som inträffar i er verksamhet för att uppfylla GDPR. 

Datainspektionens e-tjänst för anmälan av personuppgiftsincidenter återfinns här och i en engelsk version här. Brottsbekämpande myndigheter anmäler istället in personuppgiftsincidenter enligt databrottslagen här. 

Behöver du hjälp att sätta upp väl fungerande processer och göra de bedömningar som krävs enligt dataskyddsförordningen för en korrekt behandling? Läs mer om våra tjänster kring dataskyddsförordningen GDPR här.