Hvilke brudd skal meldes til Datatilsynet?
Dersom det skjer et brudd på personopplysningssikkerheten, er hovedregelen at den behandlingsansvarlige skal melde alle bruddene til Datatilsynet.
Dersom det skjer et brudd på personopplysningssikkerheten, er hovedregelen at den behandlingsansvarlige skal melde alle bruddene til Datatilsynet.
Databehandleren skal i utgangspunktet kun melde til den behandlingsansvarlige, men kan under visse vilkår melde til Datatilsynet på vegne av den behandlingsansvarlige.
Les mer om hva et brudd på personopplysningssikkerheten er.
Les også mer om hvem som kan melde brudd til Datatilsynet.
Bestemmelsene om meldeplikten finner dere i personvernforordningen artikkel 33 (lovdata.no)
Når den behandlingsansvarlige opplever et brudd på personopplysningssikkerheten, må det vurderes hvilken risiko bruddet innebærer for de berørte personenes rettigheter og friheter.
Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter».
Den behandlingsansvarlige må være tilnærmet helt sikker på at bruddet ikke vil medføre eller har medført noen risiko for de berørte, for at unntaket skal være oppfylt. Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynet for sikkerhets skyld.
Forsendelsesfeil
Angrep mot datasystemer (hacking) hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelige, eller at det er sannsynlig at dette har skjedd.
Sikkerhetshull er oppdaget, og virksomheten kan ikke utelukke at uvedkommende har utnyttet seg av det.
Tilgangsstyring mangler eller har feilet, slik at uvedkommende har fått tilgang til personopplysninger.
Uautorisert eller utilsiktet publisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.
Kastede dokumenter som skulle vært makulert.
Mistet, gjenglemt eller frastjålet:
Uavhengig av om bruddet skal meldes til Datatilsynet, har den behandlingsansvarlige plikt til å dokumentere bruddet og vurderingen av om bruddet skal meldes eller ikke.
Hensikten med denne dokumentasjonsplikten er blant annet at Datatilsynet skal kunne kontrollere at den behandlingsansvarlige har etterlevd pliktene sine etter personopplysningsloven med personvernforordningen. Dokumentasjon er også nødvendig for det systematiske sikkerhetsarbeidet – internkontrollen.
Det europeiske Personvernrådet (European Data Protection Board, EDPB) har laget retningslinjer for hvilke brudd som er meldepliktige og ikke. Retningslinjene inneholder praktiske eksempler som er til hjelp når en behandlingsansvarlig skal vurdere om bruddet må meldes til Datatilsynet eller ikke. Det gis også veiledning i når de berørte skal informeres. Retningslinjene er tilgjengelige bare på engelsk.