Det er i utgangspunktet den behandlingsansvarlige som skal melde inn brudd på personopplysningssikkerheten. En databehandler skal i utgangspunktet kun melde til den behandlingsansvarlige, men kan under visse vilkår melde til Datatilsynet på vegne av den behandlingsansvarlige.
Når et brudd på personopplysningssikkerheten oppstår hos noen som er databehandler, kan det være praktisk at databehandleren også sender meldingen til Datatilsynet på vegne av de behandlingsansvarlige. Dette gjelder særlig hvis noen er databehandler for mange behandlingsansvarlige. På den måten unngår man at et stort antall behandlingsansvarlige hver for seg skal sende inn melding om det samme bruddet.
En forutsetning for at en databehandler kan melde avviket, er at det er gitt fullmakt fra hver enkelt behandlingsansvarlig.
En slik løsning vil være ressursbesparende både for de behandlingsansvarlige og for Datatilsynet. Det vil gi hver av de behandlingsansvarlige tid til å avklare i hvilken grad de er berørt av avviket, og om de bør sende en egen oppfølgingsmelding til Datatilsynet.
Vår erfaring er at dette kan være hensiktsmessig dersom bruddet hos databehandleren rammer flere behandlingsansvarlige, men det er opp til hver enkelt behandlingsansvarlig og databehandler å avgjøre hvordan man innretter virksomheten.
Partene bør avtale uttrykkelig hvilken fullmakt databehandleren har til å melde på vegne av de behandlingsansvarlige, og databehandleren bør vise til denne fullmakten i avviksmeldingen til Datatilsynet. I fullmakten bør det presiseres om databehandleren bare kan sende en fristavbrytende første melding, eller om databehandleren gis fullmakt til å levere en fullstendig melding på vegne av den behandlingsansvarlige. For at en melding skal være fullstendig, må den inneholde all den lovpålagte informasjonen etter personvernforordningen artikkel 33.
Dersom databehandleren melder på vegne av flere behandlingsansvarlige, må kretsen av (potensielt) berørte behandlingsansvarlige identifiseres for at meldingen skal avbryte meldefristen.
Selv det er databehandleren som sender avviksmeldingen, har den enkelte behandlingsansvarlige plikt til å gjøre en selvstendig vurdering av om bruddet har medført alvorlige personvernkonsekvenser, og om det er nødvendig å supplere meldingen.
Dersom det er avtalt at databehandleren kan sende en første melding, vil det gi de behandlingsansvarlige tid til å foreta nødvendige undersøkelser og vurderinger. Hvis nærmere undersøkelser viser et behov for å følge opp med en egen melding fra den behandlingsansvarlige, må en slik melding sendes uten ytterligere ugrunnet opphold, jf. artikkel 33 nr. 4.
Vi gjør oppmerksom på at vi kan følge opp med tilsyn hos samtlige behandlingsansvarlige på bakgrunn av meldingen fra databehandleren. Vi forventer da at den enkelte behandlingsansvarlige, i tråd med personvernforordningen, kan dokumentere at de har foretatt en selvstendig vurdering av hvordan sikkerhetsbruddet berører dem. En fullmakt til databehandleren fritar ikke den behandlingsansvarlige fra det overordnede ansvaret for bruddet på sikkerheten og hendelseshåndteringen internt.
Les mer om hvordan bruddet må følges opp internt