Eksempler på områder hvor en fysisk person er behandlingsansvarlig kan være en blogg som drives av en fysisk person eller når en virksomhet drives av en selvstendig næringsdrivende.
Ekstra beskyttelsesverdige personopplysninger
Ekstra beskyttelsesverdige personopplysninger er opplysninger som er ekstra viktige å verne. De kalles også integritetssensitive personopplysninger. Det finnes ikke noe forbud mot å behandle disse opplysningene, men det krever altså økt sikkerhet.
Varslingsplikt
Vi skal rapportere brudd på personopplysningssikkerheten til vedkommende tilsynsmyndighet innen 72 timer, så lenge det ikke er usannsynlig at bruddet kommer til å medføre en risiko for de registrerte. Alle hendelser som skjer skal dokumenteres, selv dem som ikke blir meldt til datatilsynet.
Plikt til å informere de registrerte
I tillegg til å rapportere til datatilsynet er det også en plikt for den behandlingsansvarlige å kontakte de registrerte og informere dem om hva som har skjedd i noen situasjoner. Dette er i tilfeller hvor det fare for at hendelsen kan få alvorlige konsekvenser for dem, for eksempel i form av diskriminering, identitetstyveri eller økonomiske konsekvenser.
Rapporter alltid mistenkelige hendelser internt
Alle som oppdager et mulig brudd på personopplysningssikkerheten bør rapportere dette til personvernombudet eller annen ansvarlig for personvern i organisasjonen.
Databehandler har også et ansvar
Databehandleren har også et ansvar i forbindelse med brudd på personopplysningssikkerheten. Mange hendelser skjer nettopp hos IT-leverandøren/databehandleren eller deres underleverandører. Dersom databehandleren får vite om en hendelse skal denne meldes fra om til behandlingsansvarlig med en gang. Databehandleren trenger derimot ikke å melde fra til tilsynsmyndigheten, det er den behandlingsansvarliges ansvar.