Hvor lang frist har man for å melde fra om det til Datatilsynet?

Meldeplikt for personvernbrudd – Hva er fristen?

Personvernforordningen (GDPR) pålegger selskaper og organisasjoner å melde personvernbrudd til Datatilsynet. Dette gjelder brudd som kan medføre høy risiko for fysiske personers rettigheter og friheter.

Alvorlige brudd

For alvorlige personvernbrudd gjelder det en frist på 72 timer fra bruddet ble oppdaget. Datatilsynet skal varsles så snart som mulig, og senest innen fristen på 72 timer.

Mindre alvorlige brudd

For mindre alvorlige personvernbrudd finnes det ingen formell frist for å melde fra til Datatilsynet. Imidlertid oppfordrer Datatilsynet til åpenhet og proaktivitet i slike saker.

Vurdering av alvorlighet

Alvorlighetsgraden av et personvernbrudd vurderes ut fra flere faktorer, blant annet:

• Antall berørte personer
• Type personopplysninger som er berørt
• Sannsynligheten for at personopplysningene blir misbrukt
• Konsekvensene av bruddet

Veiledning

Datatilsynet har utarbeidet en veiledning som gir nærmere informasjon om meldeplikten for personvernbrudd. Veiledningen gir anbefalinger for hvordan selskaper og organisasjoner kan vurdere alvorlighetsgraden av brudd og når det er nødvendig å melde fra til Datatilsynet.

Konsekvenser av brudd på meldeplikten

Brudd på meldeplikten kan medføre bøter eller andre sanksjoner fra Datatilsynet. Derfor er det viktig å være klar over fristen for å melde fra og å følge Datatilsynets veiledning.

Konklusjon

Det finnes ingen generell frist for å melde fra om personvernbrudd til Datatilsynet. For alvorlige brudd gjelder det en frist på 72 timer, mens for mindre alvorlige brudd oppfordres det til åpenhet og proaktivitet. Datatilsynets veiledning bør konsulteres for konkret vurdering av alvorlighetsgraden i hvert enkelt tilfelle.