Artikkel 34. Underretning av den registrerte om brudd

Vil et personvernbrudd sannsynligvis medføre høy risiko for personvernet til den personopplysningene knytter seg til, skal vedkommende informeres om bruddet uten ugrunnet opphold. Unntak gjelder om det er gjort tiltak for å sikre de berørte opplysningene eller reduserer risikoen for personvernet, eller informering innebærer uforholdsmessig stor innsats. I sistnevnte tilfelle skal informasjonen gjøres offentlig tilgjengelig eller det gjøres andre tiltak som sikrer informering. Informasjonen som gis skal beskrive bruddet, kontaktopplysningene til personvernombudet/annet kontaktpunkt der mer informasjon kan innhentes, sannsynlige konsekvenser av bruddet og tiltak som er/skal treffes for å håndtere bruddet. Datatilsynet kan pålegge at det informeres om det ikke er gjort.

1. Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.

2. Underretningen til den registrerte nevnt i nr. 1 i denne artikkel skal inneholde en klar og tydelig beskrivelse av arten av bruddet på personopplysningssikkerheten og minst informasjonen og tiltakene nevnt i artikkel 33 nr. 3 bokstav b), c) og d).

3. Underretningen til den registrerte nevnt i nr. 1 er ikke påkrevd dersom noen av følgende vilkår er oppfylt:

a) den behandlingsansvarlige har gjennomført egnede tekniske og organisatoriske sikkerhetstiltak, og disse tiltakene er blitt anvendt på personopplysningene som er berørt av bruddet på personopplysningssikkerheten, særlig tiltak som gjør personopplysningene uleselige for enhver person som ikke har autorisert tilgang til dem, f.eks. kryptering,

b) den behandlingsansvarlige har truffet etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå,

c) det vil innebære en uforholdsmessig stor innsats. Dersom dette er tilfellet, skal allmennheten isteden underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.

4. Dersom den behandlingsansvarlige ikke allerede har underrettet den registrerte om bruddet på personopplysningssikkerheten, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at bruddet vil medføre en høy risiko, kreve at den behandlingsansvarlige gjør dette, eller beslutte at ett eller flere av vilkårene nevnt i nr. 3 er oppfylt.

Article 34. Communication of a personal data breach to the data subject

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33 (3).

3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

Fortalepunkter og bestemmelser

Primære fortalepunkter

Den behandlingsansvarlige bør uten ugrunnet opphold underrette den registrerte om et brudd på personopplysningssikkerheten dersom det er sannsynlig at nevnte brudd kan medføre en høy risiko for den fysiske personens rettigheter og friheter, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler. Underretningen bør beskrive arten av bruddet på personopplysningssikkerheten og inneholde anbefalinger som den berørte fysiske personen kan følge for å begrense mulige skadevirkninger. De registrerte bør underrettes så snart det med rimelighet er mulig, og i nært samarbeid med tilsynsmyndigheten og i samsvar med retningslinjer utstedt av den eller av andre relevante myndigheter, f.eks. myndigheter med ansvar for håndheving av loven. Behovet for å redusere en umiddelbar risiko for skade kan f.eks. kreve at de registrerte underrettes omgående, mens behovet for å gjennomføre egnede tiltak mot fortsatte eller lignende brudd på personopplysningssikkerheten kan berettige en lengre frist for underretning.

The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication.

Det bør undersøkes om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak er blitt gjennomført for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte. Det bør fastslås om meldingen ble gitt uten ugrunnet opphold, idet det tas særlig hensyn til arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte. En slik melding kan føre til inngripen fra tilsynsmyndigheten i samsvar med dens oppgaver og myndighet fastsatt i denne forordning.

It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

Uoffisielle overskrifter

Andre fortalepunkter

Behandling av personopplysninger kan føre til at det oppstår risikoer av varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter som kan medføre fysisk, materiell eller ikke-materiell skade, særlig når behandlingen kan føre til forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger, uautorisert oppheving av pseudonymisering eller andre betydelige økonomiske eller sosiale ulemper, når de registrerte kan bli fratatt sine rettigheter og friheter eller bli hindret i å utøve kontroll over egne personopplysninger, når behandlingen gjelder personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion eller filosofisk overbevisning, fagforeningsmedlemskap, og behandling av genetiske opplysninger, helseopplysninger, seksuelle forhold eller straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak, når personlige aspekter vurderes, særlig for å analysere eller forutsi aspekter som gjelder arbeidsprestasjoner, økonomisk situasjon, helse, personlige preferanser eller interesser, pålitelighet eller atferd, plassering eller bevegelser, for å opprette eller bruke personlige profiler, når sårbare fysiske personers, særlig barns, personopplysninger behandles, eller når behandlingen omfatter en stor mengde personopplysninger og berører et stort antall registrerte.

The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

Ved fastsettelse av nærmere regler om formatet og framgangsmåtene som får anvendelse på melding av brudd på personopplysningssikkerheten, bør det tas behørig hensyn til omstendighetene rundt nevnte brudd, herunder om personopplysningene var omfattet av hensiktsmessige tekniske sikkerhetstiltak som på en effektiv måte begrenser sannsynligheten for identitetsbedrageri eller andre former for misbruk. Nevnte regler og framgangsmåter bør videre ta hensyn til de berettigede interessene til myndighetene med ansvar for håndheving av loven dersom en tidlig offentliggjøring i unødig grad vil kunne hindre etterforskning av omstendighetene rundt et brudd på personopplysningssikkerheten.

In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Uoffisielle overskrifter

Relaterte bestemmelser

Art. 12. Klar og tydelig informasjon, kommunikasjon og bestemmelser
Art. 33. Melding om brudd til tilsynsmyndigheten

Pol. § 16. Unntak fra informasjon og innsyn

Meld feil / gi innspill

Meld feil eller gi innspill

Navn (frivillig)

Tilbakemelding

← Forrige Art. 33. Melding om brudd til tilsynsmyndigheten ← Artikkel 33 ← Art. 33 Oversikt Neste → Art. 35. Vurdering av personvernkonsekvenser (DPIA) Artikkel 35 → Art. 35 →