Hvilke brudd skal meldes til Datatilsynet?

Når må du melde personvernbrudd til Datatilsynet?

Personvern er en grunnleggende rettighet, og håndtering av personopplysninger krever strenge rutiner og forsiktighet. Et brudd på personvernet, enten det er lite eller stort, kan få alvorlige konsekvenser for berørte personer og for den ansvarlige databehandleren. Men hva slags brudd krever egentlig melding til Datatilsynet?

Datatilsynet er ansvarlig for å overvåke og håndheve personvernlovgivningen i Norge, primært personopplysningsloven (nå GDPR i norsk rett). De krever at brudd på personvernet meldes, og dette er ikke en formalitet. Meldingsplikten er der for å sikre at brudd blir håndtert effektivt, at berørte personer får informasjon og at fremtidige brudd kan forebygges.

Hvilke brudd må meldes?

Loven pålegger en meldeplikt ved et “personvernbrudd”. Dette defineres som et brudd på sikkerheten som fører til, eller kan føre til, tilfeldig eller ulovlig ødeleggelse, tap, endring, uautorisert offentliggjøring av, eller tilgang til, personopplysninger som er sendt, lagret eller på annen måte behandlet.

Dette omfatter en rekke situasjoner, inkludert men ikke begrenset til:

• Uautorisert tilgang: Hacking, tyveri av en datamaskin eller mobiltelefon som inneholder personopplysninger, eller misbruk av legitimasjon som gir tilgang til personopplysninger. Dette inkluderer også interne misbruk av tilgang, for eksempel en ansatt som urettmessig ser på kollegers personopplysninger.

• Uautorisert endring: Manipulering eller forfalskning av personopplysninger, uavhengig av omfanget.

• Uautorisert sletting: Tap av personopplysninger grunnet tekniske feil, skadeverk eller andre uautoriserte handlinger.

• Uautorisert offentliggjøring: Utilsiktet eller ulovlig spredning av personopplysninger, for eksempel ved lekkasje til media eller offentliggjøring på nett.

• Forsendelsesfeil: Personopplysninger som sendes til feil mottaker, for eksempel ved feil adresse eller feil e-postadresse. Dette gjelder både digitale og fysiske forsendelser.

Hva er avgjørende?

Det avgjørende for meldeplikten er potensialet for skade på den registrerte. En liten lekkasje som ikke medfører noen risiko for den registrerte, trenger kanskje ikke å meldes. Men tvil bør komme den registrerte til gode. Det er bedre å melde for mye enn for lite. Hvis du er usikker på om et brudd skal meldes, er det alltid best å kontakte Datatilsynet for veiledning.

Hva må meldingen inneholde?

En melding til Datatilsynet må inneholde spesifikk informasjon om bruddet, inkludert:

• Natur og omfang av bruddet
• Kategorier og antall registrerte personer
• Kategorien og antall personopplysninger
• Sannsynlig konsekvens av bruddet
• Tiltak som er tatt eller planlegges for å bøte på bruddet

Konsekvenser av unnlatelse av å melde:

Å unnlate å melde et personvernbrudd til Datatilsynet kan føre til sanksjoner, inkludert bøter. Det er derfor avgjørende å ha gode rutiner for å håndtere personopplysninger og å reagere raskt og effektivt ved et brudd.

Denne artikkelen gir en generell oversikt. For mer detaljert informasjon, se Datatilsynets nettsider og personopplysningsloven. Hvis du er usikker på om et brudd må meldes, kontakt Datatilsynet direkte.