EUs personvernråd (EDPB) har kommet med veileder for når brudd på personvernet skal varsles til Datatilsynet og/eller den som personopplysningene gjelder (den registrerte) med eksempler på når varsel skal skje.
Det har vært mye varsler til Datatilsynet siden GDPR trådte i kraft, og det har nok vært for mange varsler enn det som har vært nødvendig. Varsel til Datatilsynet skal skje dersom bruddet sannsynligvis vil medføre en risiko for personvernet til de som personopplysningene gjelder, og varsel til de personopplysningene gjelder skal skje om det er en tilsvarende høy risiko. Terskelen for å varsle har nok i mange tilfelle vært en del lavere.
Men så har det nok også trolig vært flere tilfeller hvor det skulle vært varslet, enn hvor det er varslet for ofte.
Det er derfor nyttig med retningslinjer fra EDPB. Retningslinjene har en rekke eksempler for når det skal varsles, som ved brudd pga.
Eksemplene viser at det ikke skal skje varsel til Datatilsynet i alle tilfelle ved brudd på personvernet (kun bruddet sannsynligvis vil medfører risiko for personvernet) eller de personopplysninger gjelder (kun ved høy risiko for personvernet) etter GDPR artikkel 33 og 34.
Her er en oversikt over noen av eksemplene og om varsling er påkrevet. Merk at veiledningen inneholdt mer beskrivelse av bruddene som skal varsles, tiltak for å unngå bruddet, risikovurdering, risikoreduserende tiltak og plikter som kan være nyttige.
* Kun føring i intern logg/register
Med «tilgang» ovenfor menes er tilgang til personopplysninger for uvedkommende (uautoriserte, som f.eks. utpressere/hackere. Særlige kategorier personopplysninger er opplysninger som listet opp i GDPR artikkel 9, som helseopplysninger.