Må du melde personvernbruddet? Veiviser etter GDPR artikkel 33 og 34

Må du melde personvernbruddet?

Vurder meldeplikten etter GDPR artikkel 33 og 34

Denne veiviseren hjelper deg å vurdere om et personvernbrudd må meldes til Datatilsynet og/eller de registrerte etter GDPR artikkel 33 og 34. Den erstatter ikke en konkret vurdering — meldeplikten må alltid vurderes opp mot det aktuelle bruddet.

Ingen data lagres på serveren — verktøyet kjører kun i nettleseren din.

Hva har skjedd?

Velg én eller flere typer som beskriver hendelsen. Mange personvernbrudd omfatter flere typer samtidig.

Hvilke personopplysninger er berørt?

Velg alle kategorier av personopplysninger som er eller kan være berørt av hendelsen.

Er du usikker, velg heller de kategoriene som kan være berørt.

Valg av datakategori påvirker vurderingen av risiko og om det kan være plikt til å varsle.

Omstendigheter og risikofaktorer

Velg de forholdene som passer for hendelsen. Opplysningene brukes til å vurdere risikoen for de berørte.

Er du usikker, velg heller de forholdene som kan være relevante.

Identifiserbarhet

Kan de berørte personene identifiseres ut fra de berørte opplysningene?

Personene kan identifiseres direkte Opplysningene inneholder navn, personnummer eller andre entydige identifikatorer Personene kan identifiseres indirekte Opplysningene kan i kombinasjon med annen tilgjengelig informasjon knyttes til enkeltpersoner Personene er ikke identifiserbare ut fra de berørte opplysningene Opplysningene fremstår som anonymiserte, og det er ikke realistisk å identifisere enkeltpersoner med rimelige hjelpemidler

Antall berørte

Omtrent hvor mange personer er berørt av hendelsen?

Få berørte Under 100 personer Mange berørte Anslagsvis over 100 personer Svært mange berørte Anslagsvis over 1 000 personer

Vurderingen er veiledende. Den konkrete risikovurderingen er den behandlingsansvarliges ansvar.