mail@sonderbylegal.eu
+45 72 10 90 90

Hvordan skal din virksomhed håndtere brud på persondatasikkerheden?

Når persondataforordningen træder i kraft i Danmark og resten af EU den 25. maj 2018, er dataansvarlige som noget nyt forpligtet til at anmelde brud på persondatasikkerheden til Datatilsynet uden unødig forsinkelse eller om muligt inden for 72 timer. Samtidig er den dataansvarlige forpligtet til også at underrette de berørte registrerede personer.

Den dataansvarliges forpligtelser i tilfælde af brud på persondatasikkerheden er udtryk for forordningens øgede fokus på ansvarlighed, når det kommer til at overholde forordningens regler. Formålet med kravene vedrørende håndtering af brud på persondatasikkerheden er, at øge gennemsigtigheden for de registrerede personer, sikre at der reageres ved brud på persondatasikkerheden, og at Datatilsynet får et bedre overblik over de brud, der sker på persondatasikkerheden ude i virksomhederne.

HVAD UDGØR BRUD PÅ PERSONDATASIKKERHEDEN?
I forordningen defineres brud på persondatasikkerheden som ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”. Der er kun tale om brud på persondatasikkerheden, hvis det er personoplysninger, der kompromitteres ved bruddet. Brud på persondatasikkerheden kan f.eks. være uautoriserede personers adgang til personoplysninger enten via hacking eller hændelig videregivelse til uvedkommende, eller medarbejdere som ved et uheld ændrer eller sletter personoplysninger.

ANMELDELSE TIL DATATILSYNET
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Det er kun i de tilfælde, hvor det er helt usandsynligt, at bruddet indebærer en risiko for de berørte registrerede personers rettigheder, at der ikke skal ske anmeldelse. En risiko for de registrerede personers rettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, skade på omdømme m.v.

Når den dataansvarlige er blevet bekendt med et brud på persondatasikkerheden, skal den pågældende straks vurdere, om det er sandsynligt, at bruddet indebærer en risiko for de berørte registrerede personers rettigheder. Den konkrete vurdering bør tage udgangspunkt i følgende forhold:

• typen af sikkerhedsbrud
• oplysningernes art og omfang
• risikoen for identifikation af personer
• potentielle konsekvenser for de registrerede
• om bruddet omfatter særlige kategorier af registrerede, f.eks. børn eller særligt udsatte
• antallet af berørte personer.

TIDSPUNKTET FOR ANMELDELSE
Det påhviler den dataansvarlige at foretage anmeldelse til Datatilsynet. Det anbefales, at der udpeges en eller flere medarbejdere, som er ansvarlige for at forestå anmeldelsen. Bruddet skal anmeldes uden unødig forsinkelse og om muligt senest 72 timer efter, at man er blevet bekendt med bruddet. Sker anmeldelsen senere end 72 timer efter, at bruddet er konstateret, skal anmeldelsen ledsages af en begrundelse for forsinkelsen.

ANMELDELSENS INDHOLD
Anmeldelsen skal som minimum indeholde følgende oplysninger:
• karakteren af bruddet
• navn og kontaktoplysninger på en kontaktperson i virksomheden
• beskrivelse af de forventede konsekvenser af bruddet
• beskrivelse af hvilke foranstaltninger virksomheden har sat i værk for at håndtere bruddet.

UNDERRETNING AF BERØRTE PERSONER
I tilfælde hvor et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for de berørte personers rettigheder, skal disse personer underrettes. Formålet med underretningen er, at give de pågældende personer mulighed for at træffe de fornødne forholdsregler, med henblik på at minimere skaden som følge af bruddet. Underretningen skal ske uden unødig forsinkelse.

Forordningen indeholder ikke nogen definition på, hvornår der er tale om høj risiko for den registrerede. Den dataansvarlige skal i vurderingen inddrage risikoens omfang og alle mulige konsekvenser og negative følger af bruddet.

Underretningen skal være i et klart og let forståeligt sprog, og der skal som minimum gives oplysninger om de forventede konsekvenser af bruddet, hvilke foranstaltninger den dataansvarlige har foretaget og kontaktoplysninger på kontaktpersoner tilknyttet den dataansvarlige. Underretningen kan også indeholde råd til, hvordan den registrerede beskytter sig, hvis dette er relevant.

Underretningens form afhænger af den konkrete sammenhæng og bruddets karakter. Som udgangspunkt er e-mail, brev eller sms direkte til de berørte personer tilstrækkeligt. Derimod vil en pressemeddelelse eller et opslag på virksomhedens hjemmeside normalt ikke være tilstrækkeligt. Der er dog ikke krav om direkte underretning, hvis dette vil kræve en uforholdsmæssig indsats af den dataansvarlige.

INTERN DOKUMENTATION
Den dataansvarlige har ansvar for at sørge for at dokumentere ethvert brud på persondatasikkerheden, som sker i virksomheden, og ikke kun de brud, der skal indberettes til Datatilsynet. Dokumentationen skal indeholde de faktiske omstændigheder, følgerne af bruddet og de foranstaltninger, der er truffet.

VEJLEDNING OM BRUD PÅ PERSONDATASIKKERHEDEN
I februar 2018 har Datatilsynet i samarbejde med en række offentlige myndigheder udstedt en vejledning om brud på persondatasikkerheden. Vejledningen kan læses her.

Kontakt gerne vores EU-rets specialister, såfremt din virksomhed har spørgsmål eller brug for rådgivning og hjælp til at opfylde reglerne i forordningen inden den 25. maj 2018.

"Det er afgørende for os, at der er kvalitet i alt, hvad vi foretager os"

Kontakt os

 

København K

Amaliegade 12
1256 København K
Parkeringsvejledning

AARHUS

Havnegade 4
8000 Aarhus C
Parkeringsvejledning

RANDERS

Tronholmen 3
8960 Randers SØ
Parkeringsvejledning


Telefon: +
45 7210 9090
Email:
mail@sonderbylegal.eu

Kontonr.:
6186 0011301118
IBAN:
DK2261860011301118
SWIFT:
KRONDK22


×

Menu

Ring til os

Skriv til os

Kontakt os

Har du brug for hjælp kan du kontakte os gennem kontaktformularen eller ringe 72 10 90 90 Vi kan hjælpe med følgende