Incidentrapport till IMY Sverige (GDPR art. 33)
ANMÄLAN AV PERSONUPPGIFTSINCIDENT
enligt artikel 33 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR)
Till: Integritetsskyddsmyndigheten (IMY)
Drottninggatan 29, 111 51 Stockholm
[email protected] | 08-657 61 00 | imy.se
1. DEN PERSONUPPGIFTSANSVARIGE
Organisation: [Org Namn], organisationsnummer [Org Orgnr], adress: [Org Adress].
Kontaktperson: [Kontakt Person], e-post: [Kontakt Epost], telefon: [Kontakt Telefon].
2. INCIDENTENS KARAKTÄR
Typ av personuppgiftsincident: [Incident Typ].
Datum och tid för incidenten: [Incident Datum].
Datum och tid för vetskap om incidenten: [Uppdagt Datum].
Datum för denna rapport till IMY: [Rapport Datum].
Beskrivning av incidenten: [Incident Beskrivning].
3. BERÖRDA PERSONUPPGIFTER OCH REGISTRERADE
Ungefärligt antal berörda registrerade: [Berorde Personer] personer.
Kategorier av berörda personuppgifter: [Uppgifts Kategorier].
4. RISKBEDÖMNING OCH KONSEKVENSER
Riskbedömning – sannolika konsekvenser för registrerades rättigheter och friheter: [Risk Bedömning].
5. VIDTAGNA OCH PLANERADE ÅTGÄRDER
Vidtagna åtgärder för att åtgärda incidenten och begränsa dess konsekvenser: [Vidtagnaa Atgarder].
Underrättelse till registrerade: [Underrattelse Registrerade].
Ytterligare information och pågående utredning: [Ytterligare Info].
6. BEKRÄFTELSE
Ovanstående uppgifter lämnas i enlighet med artikel 33 GDPR och lag (2018:218). Vi är medvetna om att ytterligare information kan komma att begäras av IMY och förbinder oss att samarbeta med tillsynsmyndighetens utredning. Uppgifterna är, i den mån de är kända vid rapporttillfället, korrekta och fullständiga.
[Org Namn]
Kontaktperson: [Kontakt Person]
Datum: [Rapport Datum]
Vad är Incidentrapport till IMY Sverige (GDPR art. 33)?
Incidentrapport till IMY i Sverige är den formella anmälan som en personuppgiftsansvarig måste lämna till Integritetsskyddsmyndigheten (IMY) när en personuppgiftsincident inträffar, i enlighet med artikel 33 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Skyldigheten att anmäla gäller utan undantag när incidenten sannolikt leder till en risk för fysiska personers rättigheter och friheter.
Artikel 4.12 GDPR definierar personuppgiftsincident som 'en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats'. Definitionen täcker ett brett spektrum av incidenter: ransomware-attacker som krypterar kunddata, phishing-attacker som komprometterar e-postkonton med personuppgifter, dataintrång via SQL-injektion eller autentiseringssvagheter, förlust eller stöld av laptop, USB eller mobiltelefon med personuppgifter, oavsiktlig publicering av en fil med personuppgifter på internet, felskickat e-post med känsliga uppgifter om fel mottagare, och konfigureringsfel som gör personuppgifter tillgängliga utan åtkomstkontroll.
Artikel 33.1 GDPR fastslår 72-timmarsregeln: personuppgiftsansvarig ska anmäla incidenten till tillsynsmyndigheten utan onödigt dröjsmål och om möjligt senast 72 timmar efter att ha fått vetskap om den. Om anmälan inte kan göras inom 72 timmar ska en motivering för förseningen bifogas. Begreppet 'vetskap' tolkas av EDPB som att den personuppgiftsansvarige fått tillräcklig visshet om att en incident inträffat och att personuppgifter berörts – inte från det att en misstanke uppstår, men inte heller att man behöver vänta till fullständig utredning.
Artikel 33.3 GDPR specificerar minimikraven för anmälans innehåll: (a) personuppgiftsincidentens karaktär inbegripet, om möjligt, kategorierna av och det ungefärliga antalet berörda registrerade och personuppgiftsposter, (b) namn på och kontaktuppgifter för dataskyddsombudet eller annan kontaktpunkt, (c) en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, (d) en beskrivning av de åtgärder som vidtagits eller föreslagits av den personuppgiftsansvarige för att åtgärda personuppgiftsincidenten, inbegripet, i tillämpliga fall, åtgärder för att mildra dess potentiella negativa effekter.
Artikel 33.4 GDPR möjliggör stegvis information – om alla uppgifter inte är tillgängliga inom 72 timmar kan informationen lämnas i etapper. En tidig anmälan lämnas med tillgänglig information och kompletterande rapport lämnas sedan.
Artikel 34 GDPR om underrättelse till registrerade gäller parallellt: om incidenten sannolikt leder till hög risk för registrerades rättigheter och friheter ska de registrerade underrättas utan onödigt dröjsmål. IMY:s incidentportal på imy.se används för digital inlämning. Integritetsskyddsmyndigheten (IMY), Drottninggatan 29, 111 51 Stockholm, [email protected], telefon 08-657 61 00, är tillsynsmyndighet. På forms-legal.com finns kompletta mallar för cybersäkerhetspolicy och personuppgiftsbiträdesavtal som förebygger incidenter.
När behöver du Incidentrapport till IMY Sverige (GDPR art. 33)?
Incidentrapport till IMY i Sverige krävs i alla situationer där en personuppgiftsincident sannolikt leder till risk för fysiska personers rättigheter och friheter.
Ransomware-attacker. Ransomware krypterar eller exfiltrerar data och är en av de vanligaste orsakerna till incidentanmälan. Vid ransomware-angrepp kan personuppgifter ha exponerats för angriparen (exfiltrering) och/eller blivit otillgängliga (kryptering). IMY kräver anmälan oavsett om det betalats lösen eller inte. Svenska företag som Nynäshamns kommun (2023), Kalix kommun (2022) och Ellos Group har haft uppmärksammade ransomware-incidenter. CERT-SE publicerar regelbundna varningar om ransomware-kampanjer riktade mot svenska organisationer.
Dataintrång och obehörig åtkomst. Intrång via SQL-injektion, credential stuffing, utnyttjad sårbarhet eller insider-hot som leder till obehörig åtkomst till personuppgifter kräver anmälan. Intrång i CRM-system (kunddata), HR-system (personaldata), e-postsystem (kommunikation) och hälsojournaler (patientdata) är vanliga scenarier. IMY:s årsrapporter visar att dataintrång och obehörig åtkomst är de vanligaste incidentkategorierna.
Förlust eller stöld av enheter. Förlust av laptop med kunddata, stöld av mobiltelefon med e-postkonto, förlorad USB-minne med personuppgifter kräver anmälan om enheterna inte var krypterade. Krypterade enheter utan extra riskfaktorer behöver normalt inte anmälas (IMY:s vägledning). Okrypterade enheter med känsliga personuppgifter (hälsouppgifter, personnummer) kräver nästan alltid anmälan och underrättelse till registrerade.
Oavsiktligt röjande. Felskickat e-post med personuppgifter om fel mottagare, publicering av fil med personuppgifter på offentlig webbplats eller molntjänst, felkonfigurerad åtkomstkontroll som gör data tillgänglig utan autentisering. IMY:s statistik visar att mänskliga misstag orsakar en stor andel av anmälda incidenter. Även om skadan är begränsad kan anmälningsskyldigheten gälla.
Phishing-attacker med konsekvenser. Phishing som leder till att en anställds e-postkonto komprometteras med personuppgifter kräver anmälan. Business email compromise (BEC) som leder till obehörigt röjande av personuppgifter. Spear phishing mot privilegierade konton med tillgång till databaser med personuppgifter.
Leverantörsincidenter. Om en personuppgiftsbiträde drabbas av incident som påverkar den ansvariges personuppgifter, ska biträdet informera den ansvarige utan onödigt dröjsmål (praktiskt inom 24 timmar). Den ansvarige anmäler sedan till IMY inom 72 timmar från vetskap. Leverantörsincidenter hos stora molnleverantörer (Microsoft, Google, AWS) kan utlösa anmälningsskyldighet hos kunderna.
Hälso- och sjukvårdsincidenter. Incidenter som involverar patientjournaler, hälsouppgifter eller biometrisk data kräver nästan alltid anmälan och underrättelse till registrerade på grund av de känsliga uppgifternas natur per artikel 9 GDPR. IVO och IMY har gemensam tillsyn. Patientdatalagen (2008:355) ger ytterligare krav.
Vad ska Incidentrapport till IMY Sverige (GDPR art. 33) innehålla
Incidentrapporten till IMY i Sverige ska enligt artikel 33.3 GDPR innehålla följande obligatoriska element. En ofullständig rapport kan leda till krav på komplettering och fördröjer IMY:s handläggning.
Personuppgiftsansvarigs identifikation. Fullständigt organisationsnamn och organisationsnummer (XXXXXX-XXXX). Registrerad adress. Kontaktperson (dataskyddsombud (DPO) om sådant finns, annars CISO eller annan ansvarig) med namn, titel, e-post och direkttelefon. DPO:ns kontaktuppgifter ska anges per artikel 33.3.b GDPR. IMY:s incidenthandläggare kontaktar kontaktpersonen vid kompletteringsbehov.
Incidentens karaktär. Typ av incident (ransomware, dataintrång, förlust av enhet, oavsiktligt röjande, phishing, systemfel). Datum och tid för incidenten, om känt. Datum och tid för vetskap (startpunkt för 72-timmarskravet). Datum för anmälan till IMY. Faktabaserad kronologisk beskrivning av händelseförloppet.
Berörda personuppgifter och registrerade. Ungefärligt antal berörda registrerade – exakt antal krävs inte om det är okänt. Kategorier av personuppgifter som berörts: namn, e-post, adress, personnummer, hälsouppgifter, finansiell information, lösenord (krypterade/okrypterade), betalkortsdata. Notera om känsliga personuppgifter per artikel 9 GDPR ingår, vilket påverkar riskbedömningen.
Konsekvensanalys. Sannolika konsekvenser för berörda registrerades rättigheter och friheter: identitetsstöld, finansiell skada, diskriminering, ryktessskada, förlust av konfidentialitet. Riskbedömning per IMY:s och EDPB:s vägledning. Slutsats om risknivå (låg/medel/hög) och om underrättelse till registrerade per artikel 34 GDPR krävs.
Vidtagna och planerade åtgärder. Tekniska åtgärder: patchning av sårbarhet, tvingat lösenordsbyte, isolering av komprometterade system, kriminalteknisk utredning. Kommunikationsåtgärder: underrättelse till registrerade, kommunikation med media om nödvändigt, samarbete med polisen. Organisatoriska åtgärder: uppdatering av processer, ytterligare utbildning. Tidplan för kompletterande rapport om fullständig information inte tillgänglig.
Underrättelse till registrerade. Bekräftelse om huruvida registrerade har underrättats per artikel 34 GDPR. Om underrättelse planeras: när och via vilken kanal. Om underrättelse bedöms inte nödvändig: motivering (risknivå ej hög). Om offentlig kommunikation används istället för individuell underrättelse (tekniskt omöjligt eller oproportionerlig ansträngning): hur. På forms-legal.com finns mallar för incidentrapport, cybersäkerhetspolicy och personuppgiftsbiträdesavtal.
Så fyller du i Incidentrapport till IMY Sverige (GDPR art. 33)
Incidentrapporten till IMY i Sverige upprättas och lämnas korrekt enligt följande steg.
Steg 1 - Bekräfta att en personuppgiftsincident föreligger. Kontrollera mot artikel 4.12 GDPR: är det en säkerhetsincident som rör personuppgifter? Bedöm om incidenten sannolikt leder till risk för registrerades rättigheter och friheter. Lågriskincidenter (krypterad enhet förloras, ingen data tillgänglig) kräver normalt inte anmälan men ska dokumenteras internt per artikel 33.5 GDPR. EDPB:s riktlinjer 9/2022 om anmälan av personuppgiftsincidenter ger detaljerad vägledning och fallstudier.
Steg 2 - Starta klockan. Notera exakt datum och tidpunkt för vetskap om incidenten. 72-timmarsfristen startar från detta ögonblick. 'Vetskap' innebär att tillräcklig visshet finns om att incident inträffat och personuppgifter berörts. Vänta inte med att kontakta IMY tills utredningen är komplett – stegvis information tillåts per artikel 33.4 GDPR.
Steg 3 - Aktivera incident response-planen. Aktivera er cybersäkerhets-incidentplan. Isolera påverkade system om möjligt. Säkra loggar och bevis för forensisk utredning. Informera ledning och dataskyddsombud (DPO). Kontakta CERT-SE om NIS 2-skyldig: [email protected], telefon 010-240 40 40.
Steg 4 - Samla information för anmälan. Dokumentera incidentens karaktär och tidslinje. Identifiera berörda personuppgiftskategorier och antal registrerade. Gör initial riskbedömning. Dokumentera omedelbart vidtagna åtgärder.
Steg 5 - Lämna tidig anmälan till IMY. Lämna anmälan via IMY:s incidentportal på imy.se. Om digital inlämning inte möjlig, kontakta [email protected] eller telefon 08-657 61 00. Lämna tillgänglig information och ange att kompletterande information följer. IMY:s incidentportal begär specifik strukturerad information.
Steg 6 - Komplettera med ytterligare information. Skicka kompletterande rapport när mer information finns tillgänglig. Slutrapport med fullständig incidentanalys, rotorsaksbedömning och vidtagna permanenta åtgärder lämnas vanligtvis inom en till två veckor.
Steg 7 - Bedöm underrättelse till registrerade. Om incidenten sannolikt leder till hög risk för registrerades rättigheter och friheter per artikel 34.1 GDPR, underrätta de registrerade utan onödigt dröjsmål via lämplig kanal (e-post, SMS, brev, webbplats). Underrättelse ska ges på ett klart och tydligt språk.
Steg 8 - Dokumentera internt. Dokumentera alla incidenter internt per artikel 33.5 GDPR, inklusive incidenter som inte anmälts och skälen för att inte anmäla. Dokumentationen kan begäras av IMY vid tillsyn.
Juridiska krav för Incidentrapport till IMY Sverige (GDPR art. 33)
Incidentrapporten till IMY i Sverige regleras av ett preciserat rättsligt ramverk med strikta tidsfrister och innehållskrav.
Artikel 33 GDPR – anmälan till tillsynsmyndighet. Artikel 33.1 GDPR: 72-timmarsfristen från vetskap. Artikel 33.2 GDPR: personuppgiftsbiträde informerar personuppgiftsansvarig utan onödigt dröjsmål. Artikel 33.3 GDPR: obligatoriskt innehåll (incidentens karaktär, kontaktuppgifter DPO, konsekvenser, åtgärder). Artikel 33.4 GDPR: stegvis information tillåts. Artikel 33.5 GDPR: intern dokumentationsskyldighet för alla incidenter.
Artikel 34 GDPR – underrättelse till registrerade. Om incidenten sannolikt leder till hög risk för registrerades rättigheter och friheter ska de underrättas utan onödigt dröjsmål. Artikel 34.1 GDPR kräver klart och tydligt språk. Artikel 34.2 GDPR specificerar vad underrättelsen ska innehålla. Artikel 34.3 GDPR listar undantag (kryptering, åtgärder vidtagna, oproportionerlig ansträngning).
EDPB:s riktlinjer 9/2022 om anmälan av personuppgiftsincidenter. Europeiska dataskyddsstyrelsen (EDPB) antog riktlinjer 9/2022 (uppdatering av WP250 rev.01) med detaljerade fallstudier och vägledning för bedömning av anmälningsskyldighet och riskbedömning. Riktlinjerna beskriver 18 typfall (ransomware, credential compromise, förlust av enhet, feldirigerade e-postmeddelanden, social engineering, etc.) med rekommenderade åtgärder.
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen fastslår IMY som tillsynsmyndighet och reglerar IMY:s befogenheter att begära information och genomföra inspektioner. IMY:s incidentportal på imy.se är den officiella kanalen för incidentanmälan.
NIS 2-direktivet artikel 23 – parallell rapporteringsskyldighet. NIS 2-skyldiga organisationer (väsentliga och viktiga entiteter) rapporterar därtill väsentliga incidenter till CERT-SE (MSB): tidig varning inom 24 timmar, komplett anmälan inom 72 timmar, slutrapport inom en månad. Informationssäkerhetsincidenter som drabbar nätverks- och informationssystem rapporteras parallellt till CERT-SE och IMY (om personuppgifter berörts).
Administrativa sanktionsavgifter artikel 83 GDPR. Underlåtenhet att anmäla personuppgiftsincident till IMY per artikel 33 GDPR kan leda till sanktionsavgifter per artikel 83.4 GDPR på upp till 10 miljoner euro eller 2% av global omsättning. Underlåtenhet att underrätta registrerade per artikel 34 kan leda till sanktionsavgifter per artikel 83.5 GDPR på upp till 20 miljoner euro eller 4% av global omsättning. IMY beaktar om anmälan gjordes frivilligt och skyndsamt som förmildrande omständighet.
IMY:s praxis och vägledning. IMY publicerar riktlinjer och statistik om incidentanmälningar på imy.se/tillsyn. IMY hanterar tusentals incidentanmälningar per år. Vanliga brister: sen anmälan, otillräcklig riskbedömning, saknad kontaktperson, bristfällig beskrivning av personuppgiftskategorier. IMY samarbetar med europeiska tillsynsmyndigheter via EDPB:s one-stop-shop-mekanism för gränsöverskridande incidenter.
Vanliga misstag i Incidentrapport till IMY Sverige (GDPR art. 33)
Vanliga misstag vid incidentrapportering till IMY i Sverige.
Misstag 1 - Anmälan för sent eller inte alls. Den vanligaste bristen är att 72-timmarsfristen missas på grund av osäkerhet om anmälningsskyldigheten, sen vetskap (incidenten oupptäckt länge) eller interna beslutsprocesser som tar för lång tid. IMY påminner om att stegvis information tillåts – en tidig anmälan med begränsad information är bättre än en sen fullständig rapport. Definiera internt vem som beslutar om IMY-anmälan och säkerställ att beslutet fattas inom timmar, inte dagar.
Misstag 2 - Felanmälan (för bred eller för smal). Incidenter som inte är personuppgiftsincidenter anmäls till IMY (t.ex. systemavbrott utan dataexponering) eller incidenter som borde anmälts anmäls inte (t.ex. förlust av okrypterad enhet med personuppgifter bedöms felaktigt som lågriskhändelse). EDPB:s riktlinjer 9/2022 med fallstudier är det primära verktyget för bedömning. IMY:s vägledning på imy.se kompletterar.
Misstag 3 - Otillräcklig riskbedömning. Riskbedömningen är ytlig och justifierar inte slutsatsen om risknivå. IMY kräver konkreta argument om sannolikhet och konsekvenser baserade på incidentens specifika karaktär. 'Risken bedöms vara låg' utan motivering är otillräckligt. Specificera: vilka uppgiftstyper exponerades, vilken skada kan registrerade drabbas av, hur stor är sannolikheten för skadan.
Misstag 4 - Saknad kontaktperson med rätt kompetens. Kontaktpersonen i anmälan har inte tillgång till incidentdetaljer och kan inte svara på IMY:s uppföljningsfrågor. Utse dataskyddsombudet (DPO) eller cybersäkerhetsansvarig (CISO) som kontaktperson. Säkerställ att kontaktpersonen är tillgänglig under IMY:s handläggning.
Misstag 5 - Intern dokumentation saknas. Organisationer dokumenterar inte incidenter per artikel 33.5 GDPR, inklusive incidenter som inte anmälts och skälen. IMY kan vid tillsyn begära ta del av intern incidentlogg. Saknad dokumentation kan försämra försvaret mot sanktioner. Implementera ett incidentregister.
Misstag 6 - Underrättelse till registrerade försummas. Incidenter med hög risk bedöms felaktigt som medel- eller lågrisk och registrerade underrättas inte. Artikel 34 GDPR och IMY:s vägledning ger tydliga kriterier för 'hög risk': känsliga uppgifter (hälsa, finansiell, autentiseringsuppgifter), stort antal registrerade, identitetsstöldrisken, icke-krypterade uppgifter. Felaktig bedömning kan leda till separata sanktioner.
Misstag 7 - Anmälan är slutgiltig när komplettering behövs. Organisationer tror att den initiala anmälan är slutgiltig och lämnar inte kompletterande information. Artikel 33.4 GDPR möjliggör och förväntar sig stegvis information vid komplexa incidenter. En tidig tidig-anmälan följs av komplettering när utredningen fortskrider. IMY förväntar sig komplettering vid aktiv utredning.
Citera den här sidan
Hänvisa till den här gratismallen i en artikel, kursplan eller forskningsanteckning:
Forms Legal. (2026). Incidentrapport till IMY Sverige (GDPR art. 33) (Sverige) [Legal document template]. Forms Legal. https://forms-legal.com/sv/sverige/government/declarations/incidentrapport-imy
"Incidentrapport till IMY Sverige (GDPR art. 33) (Sverige)." Forms Legal, 2026, https://forms-legal.com/sv/sverige/government/declarations/incidentrapport-imy.
@misc{formslegal-incidentrapport-imy,
author = {{Forms Legal}},
title = {Incidentrapport till IMY Sverige (GDPR art. 33) (Sverige)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sv/sverige/government/declarations/incidentrapport-imy}},
note = {Free legal document template}
}Vanliga frågor
Nej, anmälan till IMY krävs inte alltid. Artikel 33.1 GDPR kräver anmälan när incidenten sannolikt leder till en risk för fysiska personers rättigheter och friheter. Om det är osannolikt att incidenten leder till en risk behöver anmälan inte lämnas – men incidenten måste ändå dokumenteras internt per artikel 33.5 GDPR. Lågrisksituationer som normalt inte kräver anmälan: förlust av krypterad enhet med starkt lösenord utan kända säkerhetsbrister i krypteringen, fel e-post med ej känsliga uppgifter till en känd och lojal mottagare som omedelbart raderar uppgifterna. Högriskscenarier som nästan alltid kräver anmälan: ransomware med datakryptering och misstänkt exfiltrering, dataintrång med känsliga uppgifter (hälsa, personnummer, finansiell data), förlust av okrypterad enhet med personuppgifter. EDPB:s riktlinjer 9/2022 ger detaljerade fallstudier för bedömning.
Om du inte kan lämna anmälan inom 72 timmar ska du: (1) Ändå anmäla till IMY snarast möjligt. (2) I anmälan inkludera en motivering för förseningen. Godtagbara skäl kan vara att incidentens fulla omfång inte kunnat fastställas, att teknisk utredning krävts för att bekräfta personuppgiftsexponering, eller att komplex gränsöverskridande incident krävt koordinering. (3) Samarbeta fullt med IMY:s utredning. IMY beaktar frivillig och skyndsam anmälan som förmildrande omständighet vid sanktionsbedömning. Sen men proaktiv anmälan behandlas mer gynnsamt än anmälan först efter att IMY inlett utredning på eget initiativ. Sanktionsavgifter per artikel 83.4 GDPR för sen anmälan varierar beroende på allvarlighet och samarbete.
Ja, i vissa fall. Artikel 34 GDPR kräver underrättelse till de registrerade utan onödigt dröjsmål om incidenten sannolikt leder till hög risk för deras rättigheter och friheter. Underrättelse krävs nästan alltid vid: exponering av känsliga personuppgifter (hälsa, biometriska, religiös övertygelse), exponering av autentiseringsuppgifter (lösenord, om ej starkt hashade), identitetsstöldsrisk (personnummer, kombinerat med finansiella uppgifter), och vid stora dataintrång med risk för systematisk skada. Undantag från underrättelse (artikel 34.3): krypterade uppgifter som är oläsliga utan nyckel, tekniskt omöjlig individuell kontakt (offentlig kommunikation istället), åtgärder som effektivt eliminerat risken. Innehåll i underrättelse: tydlig beskrivning av incidenten, kontaktuppgifter, sannolika konsekvenser, vidtagna åtgärder. IMY:s vägledning ger exempeltexter.
IMY kan vid bristfällig incidentrapportering vidta följande åtgärder: (1) Varning vid lindrigare fall. (2) Reprimand vid bekräftad men ursäktad brist. (3) Föreläggande att rätta till bristerna. (4) Administrativa sanktionsavgifter per artikel 83.4 GDPR: underlåtenhet att anmäla personuppgiftsincident per artikel 33 kan leda till sanktionsavgifter upp till 10 miljoner euro eller 2% av den globala årsomsättningen. Underlåtenhet att underrätta registrerade per artikel 34 kan leda till sanktionsavgifter per artikel 83.5 GDPR upp till 20 miljoner euro eller 4% av global omsättning. IMY beaktar förmildrande omständigheter (samarbete, proaktiv åtgärd, begränsad skada) och försvårande omständigheter (avsiktlig eller grov oaktsamhet, upprepade överträdelser). IMY:s årsrapporter om incidentanmälningar ger vägledning om sanktionspraxis.
IMY erbjuder en digital incidentportal på imy.se/anmalan/personuppgiftsincident för strukturerad incidentrapportering. Portalen begär: organisationens uppgifter och kontaktperson, incidentens typ och tidpunkt, berörda personuppgiftskategorier och antal registrerade, riskbedömning och vidtagna åtgärder. Alternativt kan anmälan lämnas via e-post [email protected]. Vid brådskande fall (aktiv attack, hög risk) kan IMY kontaktas via telefon 08-657 61 00. IMY:s incidentportal är anpassad till EDPB:s gemensamma formulär som används av tillsynsmyndigheter i hela EU. Gränsöverskridande incidenter (drabbar registrerade i flera EU-länder) hanteras via one-stop-shop-mekanismen med en ledande tillsynsmyndighet.
GDPR-incidentrapport (artikel 33) rapporteras till IMY och gäller alla personuppgiftsincidenter, oavsett bransch. Tidsfrist: 72 timmar från vetskap. Tröskeln: sannolikt risk för registrerades rättigheter och friheter. NIS 2-incidentrapport (artikel 23) rapporteras till CERT-SE (MSB) och gäller cybersäkerhetsincidenter som påverkar nätverks- och informationssystem hos väsentliga och viktiga entiteter. Tidsfrist: tidig varning inom 24 timmar, komplett anmälan inom 72 timmar, slutrapport inom en månad. Tröskeln: 'väsentlig incident' per NIS 2-kriterierna (störd tjänsteleverans, finansiell förlust, reputationsrisk). Om en incident involverar personuppgifter och drabbar en NIS 2-skyldig organisation gäller båda rapporteringsskyldigheterna parallellt – rapport lämnas till IMY (GDPR artikel 33) och CERT-SE (NIS 2 artikel 23). CERT-SE nås via [email protected], telefon 010-240 40 40.
Artikel 33.5 GDPR kräver att personuppgiftsansvarig dokumenterar alla personuppgiftsincidenter, inklusive fakta, konsekvenser och åtgärder. Dokumentationen ska bevaras för att visa efterlevnad. Bevarandetid specificeras inte i GDPR men IMY och EDPB rekommenderar minst tre år (preskriptionstiden för GDPR-anspråk) till fem år. Vid incidenter med IMY-anmälan bör dokumentationen sparas tills ärendet avslutats hos IMY (kan ta 1-2 år) plus ett till två år. Intern incidentlogg ska täcka: incidentens datum och beskrivning, riskbedömning, om anmälan gjordes (om inte, varför), vidtagna åtgärder, om registrerade underrättades. Dokumentationen kan begäras av IMY vid tillsyn.
Denna mall tillhandahålls endast i informationssyfte och utgör inte juridisk rådgivning. Lagar varierar mellan jurisdiktioner och ändras över tid. Rådfråga en kvalificerad jurist för rådgivning som är specifik för din situation.Fullständig ansvarsfriskrivning
Hittade du ett fel? Berätta för ossRelated Documents
You may also find these documents useful:
Personuppgiftsbiträdesavtal (DPA) Sverige
Mall för Personuppgiftsbiträdesavtal (DPA) enligt artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218). Täcker de åtta obligatoriska punkterna: instruktioner, tystnadsplikt, säkerhetsåtgärder, underbiträden, registrerades rättigheter, incidenthantering, radering och revisionsrätt.
Integritetspolicy Sverige (GDPR-kompatibel)
Mall för Integritetspolicy enligt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning samt lag (2003:389) om elektronisk kommunikation. Innefattar artikel 13 och 14 GDPR informationskrav, cookies enligt LEK, registrerades rättigheter samt eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
Cybersäkerhetspolicy Sverige (NIS 2 & GDPR)
Mall för Cybersäkerhetspolicy enligt NIS 2-direktivet (EU 2022/2555), cybersäkerhetslagen, MSB:s riktlinjer och GDPR artikel 32. Täcker riskhantering, tekniska och organisatoriska säkerhetsåtgärder, incidenthantering med CERT-SE-rapportering och kontinuitetsplanering.
GDPR-begäran om Registerutdrag Sverige
Skriftlig begäran om registerutdrag enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Riktas till personuppgiftsansvarig (företag, myndighet, organisation). Innehåller eskaleringsväg till Integritetsskyddsmyndigheten (IMY).