Avviksrapportering og -håndtering
Intern avviksrapportering
Lokal behandlingsansvarlig skal rapportere alle avvik i behandlingen av personopplysninger om Den norske kirkes medlemmer til sentral behandlingsansvarlig. Lokal behandlingsansvarlig skal rapportere avvik omgående til sentral behandlingsansvarlig.
Avvik i behandlingen av personopplysninger er et svært vidt felt og inkluderer blant annet at:
- fødselsnummer er sendt per e-post, eller at
- uvedkommende har fått tilgang til personopplysninger for eksempel ved at
a. personopplysninger har blitt sendt til feil mottaker per e-post eller post,
b. lokal behandlingsansvarlig har vært utsatt for dataangrep,
c. egne ansatte har snoket på personopplysninger til private formål,
d. personopplysninger har blitt publisert, for eksempel på internett eller i menighetsblad, uten rettslig grunnlag som samtykke, eller at
e. personopplysninger har blitt mistet, gjenglemt eller forlagt i form av papirdokumenter, en laptop, et nettbrett, minnepinner eller lignende
Sentral behandlingsansvarlig skal rapportere hendelser til sikkerhetsutvalget.
Avviksrapportering til Datatilsynet
Sentral behandlingsansvarlig skal rapportere egne og lokal behandlingsansvarliges avvik i behandlingen av personopplysninger knyttet til Den norske kirkes medlemmer til Datatilsynet innen 72 timer.
Sentral og lokal behandlingsansvarlig skal rapportere avvik i behandlingen av personopplysninger knyttet til egne ansatte direkte til Datatilsynet.