Anmälan av gränsöverskridande personuppgiftsincidenter

Relevanta dokument
Anmälan av personuppgiftsincident

Anmälan av personuppgiftsincident

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Anmälda personuppgiftsincidenter 2018

INFORMATIONSSÄKERHET OCH DATASKYDD

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR- Seminarium 2017

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsbiträdesavtal

Personuppgiftsinformation för Svedala kommun

(5) Integritetspolicy - Kumla Bostäder AB

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Policy för personuppgiftsbehandling

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Lathund Personuppgiftslagen (PuL)

Handlingsplan för persondataskydd

Instruktion till mall för registerförteckning

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Europeiska unionens råd Bryssel den 18 maj 2017 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

PUL OCH DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

BILAGA IV TILLÄMPLIGA ENHETSBIDRAGSSATSER

Lathund Dataskydd för krögare

Dataskyddsförordningen - GDPR

Personuppgiftspolicy

RAPPORT FRÅN KOMMISSIONEN TILL RÅDET, EUROPAPARLAMENTET, EUROPEISKA EKONOMISKA OCH SOCIALA KOMMITTÉN SAMT REGIONKOMMITTÉN

Bilaga - Personuppgiftsbiträdesavtal

BILAGA IV TILLÄMPLIGA ENHETSBELOPP

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Kerstin Wardman, 25 april 2018

Allmänna uppgifter om dig

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

EU:s nya dataskyddsförordning Lotta Wikman Öman

I. BEGÄRAN OM UPPGIFTER vid utsändning av arbetstagare för tillhandahållande av tjänster i andra länder

Migrationsverket: Allmänna råd om kontroll av rätt att vistas och arbeta i Sverige

EU:s dataskyddsförordning

Om du inte har möjlighet att använda DO:s anmälningsblanketter kan du göra en anmälan per brev, e-post, muntligen eller på annat sätt.

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Vad är en personuppgift och vad är en behandling av personuppgifter

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Privatpersoners användning av datorer och Internet. - i Sverige och övriga Europa

BILAGOR. till. Förslag till Europaparlamentets och rådets förordning. om det europeiska medborgarinitiativet. {SWD(2017) 294 final}

UTLÄNDSKA STUDERANDE MED STUDIESTÖD FRÅN ETT NORDISKT LAND ASIN

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Flytt av ett bolags säte till ett annat EU-land samråd från GD MARKT

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Saknar du svar på någon fråga får du gärna hör av dig till oss. Information om hur du kontaktar oss finns under avsnitt 16 Kontaktuppgifter.

Samråd om en europeisk arbetsmyndighet och ett europeiskt socialförsäkringsnummer

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR Panik eller full koll på läget?

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Dataskyddsförordningen, GDPR

BILAGA. Medlemsstaternas svar om genomförandet av kommissionens rekommendationer för valen till Europaparlamentet. till

Vården och reglerna om dataskydd

Hallsbergs Bostadsstiftelses integritetspolicy

GDPR. Dataskyddsförordningen

RIKSDAGENS SVAR 117/2003 rd

PERSONUPPGIFTSBITRÄDESAVTAL

Kvartalsredovisning. Antalet EU-intyg hänförliga till EGförordning. arbetslöshetsersättning Första kvartalet 2005

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

PERSONUPPGIFTSBITRA DESAVTAL

YRKESKOMPETENS (YKB) Implementeringstid för YKB

Dataskyddsförordningen för prefekter och administrativa chefer

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Personuppgiftsbehandling Dataskydd

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

Ansökan om legitimation för lärare och förskollärare - för dig som tagit examen utanför EU och EES

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Koncernkontoret Enheten för juridik

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Behandling av personuppgifter vid Göteborgs universitet

Dnr 2005/ :1. Kvartalsredovisning. Antalet EU-intyg hänförliga till EGförordning. arbetslöshetsersättning. - fjärde kvartalet 2005

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Europeiska unionens råd Bryssel den 3 mars 2017 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

Lättläst om svenskt studiestöd

GDPR - Riktlinjer för hantering av personuppgifter

Södertörns brandförsvarsförbund

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Personuppgiftsbehandling för forskningsändamål

Integritetspolicy För dig som söker tjänst hos Euro Accident

Personuppgiftspolicy

Transkript:

Anmälan av gränsöverskridande personuppgiftsincidenter enligt artikel 33 i dataskyddsförordningen Har ni inte svar på alla frågor när ni fyller i anmälan, kan ni komplettera anmälan när ni har ytterligare information om incidenten. Kompletteringen ska i så fall ske skyndsamt. Fält märkta med asterisk (*) bör dock fyllas i innan ni skickar in anmälan. Vid ändring eller komplettering av en tidigare gjord anmälan behöver bara de fält som ska ändras eller kompletteras fyllas i. Undvik uppgifter som ni inte vill röja All information ni lämnar här kommer att bli allmän handling. Det innebär att informationen kan komma att behöva lämnas ut om någon begär det, och det inte finns någon bestämmelse om sekretess som hindrar ett utlämnande. Vi rekommenderar därför att ni inte lämnar fler uppgifter än vad som är nödvändigt i fritextfälten. Om ni ändå väljer att skriva något som ni anser bör omfattas av sekretess, använd fritextfältet sist i formuläret för att beskriva vad som i så fall enligt er bör vara sekretessbelagt. Oavsett detta är det Datainspektionen som slutligen avgör om en handling kan lämnas ut eller inte. Information om hur Datainspektionen hanterar de personuppgifter ni anmäler finns på Datainspektionens webbplats. Detta formulär ska användas av personuppgiftsansvariga, inte av registrerade (privatpersoner). Om du som registrerad anser att du har blivit drabbad av en personuppgiftsincident kan du skicka in ett klagomål till oss. I annat fall har du möjlighet att enbart tipsa oss om att en misstänkt personuppgiftsincident har skett. Läs mer om personuppgiftsincidenter på vår webbplats. www.datainspektionen.se/pui Version 1.3 2018-10-23 Sida 1 av 16

Ska incidenten anmälas till Datainspektionen? 1. Är det här en ny anmälan, eller en ändring eller komplettering av en tidigare gjord anmälan? Markera endast ett alternativ. Ny anmälan Ändring eller komplettering, ange dnr för tidigare anmälan: Internt referensnummer: 2. Felaktig incidentanmälan? Om en tidigare gjord anmälan visat sig inte röra en personuppgiftsincident ska du ange anledningen här. 3. Är det osannolikt att incidenten medfört en risk för de registrerades fri- och rättigheter? Markera endast ett alternativ. Ja Nej Om ni svarat ja på frågan ovan är detta inte en incident som behöver anmälas till Datainspektionen. Ni ska i så fall inte skicka in formuläret till Datainspektionen. Ni ska däremot dokumentera incidenten internt. Att riskera de registrerades fri- och rättigheter kan till exempel vara att de förlorar kontrollen över sina uppgifter, att rättigheter inskränks, att de utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning och brott mot sekretess eller tystnadsplikt. 4. Har incidenten inträffat i Sverige eller i ett annat land? Markera endast ett alternativ. a. Incidenten har inträffat i Sverige och påverkar inte registrerade personer i andra länder b. Incidenten har inträffat i Sverige men påverkar registrerade personer i andra länder c. Incidenten har inträffat i minst ett annat land utöver Sverige Om ni har fyllt i alternativ a ska ni inte fylla i detta formulär. Ni ska i stället fylla formuläret för icke-gränsöverskridande personuppgiftsincidenter. Sida 2 av 16

5. Har ni ert huvudsakliga verksamhetsställe i Sverige? Markera endast ett alternativ. a. Ni har er centrala förvaltning i Sverige och beslut om ändamål och medel för behandlingen fattas inte i något annat land inom EU/EES b. Ni har er centrala förvaltning i ett annat land än Sverige men beslut om ändamål och medel för behandlingen fattas i Sverige c. Ni har inte er centrala förvaltning i Sverige och beslut om ändamål och medel fattas i ett annat land än Sverige Om ni har fyllt i alternativ c ska incidenten inte rapporteras till Datainspektionen. Ni ska i stället rapportera incidenten till er ansvariga tillsynsmyndighet. Den ansvariga tillsynsmyndigheten är tillsynsmyndigheten för den personuppgiftsansvariges huvudsakliga verksamhetsställe eller enda verksamhetsställe. Det huvudsakliga verksamhetsstället är: den plats i unionen där den personuppgiftsansvarige har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället. 6. Vilka andra länder berörs av incidenten? Markera alla som gäller. En tillsynsmyndighet är en berörd Belgien Bulgarien Cypern Danmark Estland Finland Frankrike Grekland Irland Island (EES) Kroatien Lettland Liechtenstein (EES) Litauen Luxemburg Malta Nederländerna Norge (EES) Polen Portugal Rumänien Slovakien Slovenien Spanien Storbritannien Sverige Tjeckien Tyskland Ungern Österrike tillsynsmyndighet om något av följande är uppfyllt: ni har ett verksamhetsställe i det land där tillsynsmyndigheten finns de registrerade i det land där tillsynsmyndigheten finns i väsentlig grad påverkas eller sannolikt i väsentlig grad kommer att påverkas av incidenten. Sida 3 av 16

Personuppgiftsansvarig 7. Organisationens namn * Skriv namnet på den personuppgiftsansvarige där incidenten har inträffat. 8. Organisationsnummer * Skriv organisationsnummer för den personuppgiftsansvarige där incidenten har inträffat. 9. Organisationens postadress * Postadress till personuppgiftsansvarige (dvs. inte besöksadress). Kontaktperson/er för anmälan 10. Kontaktpersonens/ernas namn * Namnet på den/de person/er som Datainspektionen kan kontakta. 11. Kontaktpersonens/ernas roll * Markera endast ett alternativ. Dataskyddsombud Annan roll 12. Kontaktpersonens/ernas e-postadress* 13. Kontaktpersonens/ernas postadress 14. Kontaktpersonens/ernas telefonnummer * Sida 4 av 16

Incidenten 15. När inträffade incidenten? * (År, månad, & dag) 16. Pågår incidenten fortfarande? Ja Nej Om ni har fyllt i Ja ovan, se fråga 18. Om ni har fyllt i Nej, se fråga 17. 17. När upphörde incidenten? (År, månad, dag & klockslag) 18. När upptäckte ni incidenten? Klockslag obligatoriskt (År, månad, dag & klockslag) 19. Er anmälan kommer in senare än 72 timmar efter att ni upptäckte incidenten. Beskriv varför. 20. Vad har hänt vid incidenten? Markera det alternativ som bäst stämmer överens med det som Obehörigt röjande: Personuppgifter har spridits på ett felaktigt sätt. inträffade. Obehörig åtkomst: Någon inom eller utanför organisationen har tagit del av information som den saknade behörighet till. Förlust: Information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen. Förstöring: Någon eller något har förstört information, till exempel genom att en dator har gått sönder. Ändring: Personuppgifter har ändrats på något sätt. Sida 5 av 16

21. Kort beskrivning av incidenten 22. Vad är det för typ av incident? Digital enhet har förlorats Dokument har förlorats/skadats E-post har förlorats eller öppnats av obehörig person Hackning Skadlig kod (malware) Nätfiske (phishing) Fysiskt dokument har gallrats på felaktigt sätt E-avfall har inte rensats på personuppgifter Personuppgifter har publicerats av misstag Personuppgifter har avslöjats muntligen av misstag Övrigt: 23. Hur upptäckte ni incidenten? Markera endast ett alternativ. Genom en automatiserad process: tekniska säkerhetsåtgärder Genom organisatoriska rutiner, till exempel en återkommande kontroll En anställd informerade oss Vårt personuppgiftsbiträde informerade oss En utomstående eller registrerad informerade oss. 24. Varför inträffade incidenten enligt er uppfattning? Markera endast ett alternativ. Mänskliga faktorn: fel i det enskilda fallet Brist i organisatoriska rutiner eller processer: systematiska fel Tekniskt fel, till exempel fel i mjukvara, programinställningar Medvetet angrepp från någon i organisationen: angrepp inifrån Antagonistiskt angrepp: angrepp utifrån Okänd orsak Sida 6 av 16

25. Inom vilket verksamhetsområde inträffade incidenten? Markera endast ett alternativ. Hälso- och sjukvård Socialtjänst Skola: förskola, grundskola, gymnasium Universitet eller högskola Annan eftergymnasial utbildning Forskning Finansiell sektor eller försäkring Kreditupplysning Inkasso Näringslivet i övrigt Polis Rättsväsendet i övrigt Ideell organisation eller ekonomisk förening Kommun Statlig myndighet Övrigt: Sida 7 av 16

Biträden 26. Gäller incidenten en personuppgiftsbehandling som hanteras av anlitade personuppgiftsbiträden eller underbiträden? Ja Nej 27. Organisationens namn och organisationsnummer. Organisationens namn och organisationsnummer: Organisationens namn och organisationsnummer: Organisationens namn och organisationsnummer: Sida 8 av 16

Uppgifterna och de registrerade 28. Hur många registrerade har påverkats? Exakt antal: Om ni inte känner till det exakta antalet kan ni uppskatta antalet genom att fylla i något av de angivna intervallen. Markera endast ett alternativ. 1 10 11 100 101 1 000 1 001 10 000 10 001 100 000 100 001 500 000 500 001 1 miljon Över 1 miljon Okänt/kan inte ange 29. Hur många uppgifter om registrerade personer har påverkats? Exakt antal: Om ni inte känner till det exakta antalet kan ni uppskatta antalet och fylla i något av de angivna intervallen. Markera endast ett alternativ. 1 10 11 100 101 1 000 1 001 10 000 10 001 100 000 100 001 500 000 500 001 1 miljon Över 1 miljon Okänt/kan inte ange Sida 9 av 16

30. Vilka grupper tillhör de registrerade? Markera alla alternativ som gäller. Anställda hos den personuppgiftsansvarige Användare av den personuppgiftsansvariges tjänster Kunder hos den personuppgiftsansvarige Prenumeranter Medlemmar, till exempel i en förening eller en kundklubb Militär, det vill säga anställda inom totalförsvaret Patienter Barn Skolelever i förskola, grundskola eller gymnasium Studerande i eftergymnasial utbildning Utsatta personer, till exempel personer som lever med skyddad identitet Övriga personer som enligt er bedömning drabbas särskilt hårt om personuppgifter sprids Kan inte ange för närvarande Övrigt: Sida 10 av 16

31. Vilken sorts personuppgifter har incidenten drabbat? Markera alla alternativ som gäller. Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Genetiska uppgifter Biometriska uppgifter Hälsa Sexualliv eller sexuell läggning Uppgift om brott Personnummer Ekonomisk eller finansiell information Officiella dokument Lokaliseringsuppgifter (till exempel GPS-position, ej adressuppgifter) Kommunikationsloggar Metadata om kommunikation Födelsedatum Identifierande information (till exempel för- och efternamn) Kontaktinformation Okänd Övrigt: 32. Var personuppgifterna krypterade? Markera endast ett alternativ. Ja, samtliga uppgifter Ja, men inte alla uppgifter Nej Vet inte Sida 11 av 16

Konsekvenser 33. Vad kan bli konsekvenserna av incidenten? Markera alla alternativ som gäller. Den registrerade förlorar kontrollen över de egna personuppgifterna Begränsning av rättigheter Diskriminering Identitetsstöld eller bedrägeri Ekonomisk förlust Obehörigt hävande av pseudonymisering Skadat anseende Förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt Annan ekonomisk eller social nackdel Övrigt: 34. Vad för andra konsekvenser kan incidenten leda till? Konfidentialitetsincidenter Större distribution av personuppgifter än vad som var nödvändigt eller vad de registrerade samtyckt till Personuppgifter kan komma att samköras med andra uppgifter om de registrerade Övrigt: Riktighetsincidenter Personuppgifter som inte är korrekta kan ha behandlats av misstag Personuppgifter kan ha behandlats för andra ändamål än de avsedda Övrigt: Tillgänglighetsincidenter Förlust av förmågan att tillhandahålla en tjänst som är kritisk/ nödvändig för de registrerade Påverkan av förmågan att tillhandahålla en tjänst som är kritisk/ nödvändig för de registrerade Övrigt: Sida 12 av 16

35. Hur allvarlig bedömer ni att incidenten är? Uppskatta hur allvarlig incidenten är med hänsyn till de registrerades integritet. 1 är minst allvarlig och 4 mest allvarlig. Markera endast ett alternativ. 1. Obetydlig 2. Begränsad 3. Betydande 4. Mycket allvarlig 36. Hur har ni agerat efter incidenten? Beskriv vad ni har gjort. Har ni vidtagit åtgärder eller avser att Datum och tid: vidta åtgärder för att lösa problem, förebygga eller mildra effekterna av incidenten? Åtgärd: Datum och tid: Åtgärd: Datum och tid: Åtgärd: Datum och tid: Åtgärd: Sida 13 av 16

Information till de registrerade 37. Har ni informerat de registrerade om incidenten? Markera endast ett alternativ. Ja Nej Om ni svarat Ja på frågan ovan, se nästa fråga. Om ni svarat Nej på frågan ovan, se fråga 39. 38. När informerade ni de registrerade? Datum: Gå vidare till fråga 43. 39. Kommer ni att informera de registrerade? Markera endast ett alternativ. Ja Nej Vi har inte tagit ställning än Om ni svarat Ja på frågan ovan, se nästa fråga. Om ni svarat Nej, gå till fråga 41. 40. När kommer ni att informera de registrerade? Datum: Se fråga 46. 41. Varför kommer ni inte att informera de registrerade? Markera alla alternativ som gäller. a: Incidenten medför inte hög risk för personers fri- och rättigheter b: Personuppgifterna var krypterade eller på annat sätt skyddade c: Vi har redan vidtagit åtgärder som avhjälper riskerna d: Att informera innebär en oproportionell ansträngning, vi har istället informerat allmänheten Om ni svarat a eller b på frågan ovan, se fråga 46. Om ni svarat c, se fråga 42. Om ni svarat d, se fråga 44. Sida 14 av 16

42. Beskriv de åtgärder ni vidtagit för att avhjälpa riskerna som innebär att ni inte behöver informera de registrerade. Se fråga 46. 43. Hur har ni informerat de registrerade? Se fråga 45. 44. Beskriv hur ni informerat allmänheten eller vilka åtgärder ni vidtagit för att informera de registrerade på ett effektivt sätt. 45. Vad har ni lämnat för information till de registrerade? Bifoga informationen till anmälan. Sida 15 av 16

Komplettering/eventuell sekretess 46. Den här anmälan kommer att kompletteras. Om ni ska komplettera anmälan så måste det ske skyndsamt. Markera endast ett alternativ. Ja Nej 47. Vi anser att viss information i min anmälan bör omfattas av sekretess. Beskriv vilken information som enligt er bör vara sekretessbelagd, och varför. Har du frågor? Läs mer om personuppgiftsincidenter på vår webbplats. www.datainspektionen.se/pui Om du inte hittar svaret där kan du nå oss på e-post personuppgiftsincident@datainspektionen.se eller tel 08-657 61 00. Kontakt Blanketten skickar du per brev till: Datainspektionen Box 8114 104 20 Stockholm Sida 16 av 16

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss