Dersom du representerer en behandlingsansvarlig virksomhet der det har skjedd et avvik (brudd på personopplysningssikkerheten), skal du rapportere det så snart som mulig. På denne siden finner du informasjon om når og hvordan du går frem.

Melding av avvik under koronakrisen

Alle virksomheter i Norge er berørt av utfordringene med koronaviruset, og vi står i en helt spesiell situasjon. Når det gjelder hovedreglene med 72-timersfrist for innmelding av avvik, kan denne fristen derfor tillempes noe etter situasjonen.

I personvernforordningen artikkel 33 nr. 1 står det:
«Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.»

Koranakrisen kan i denne sammenheng oppgis som en årsak dersom det er den reelle grunnen til forsinkelse.

Engelsk veiledning

EUs rådgivende organ i personvernspørsmål (Artikkel 29-gruppen) har skrevet en veiledning om avvikshåndtering, Personal Data Breach Notification. Den gir flere eksempler på brudd på personopplysningssikkerheten og hvordan man skal forholde seg til det.