Når persondataforordningen finder anvendelse i Danmark og resten af EU fra den 25. maj 2018, vil der – som noget nyt – gælde en generel forpligtelse for alle dataansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet.
Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet. Dette skal ske, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.
Brud på persondatasikkerheden er hændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Som eksempler på brud på persondatasikkerheden kan nævnes:
1) Personer, der ikke er autoriseret til det, får (uautoriseret) adgang til personoplysninger. Det kan både være personer uden for eller inden for virksomheden.
2) Virksomhedens medarbejdere ændrer eller sletter personoplysninger ved et uheld.
3) Brud på virksomhedens server, hvor uvedkommende har fået indsigt i personoplysninger – fx kundedatabasens CPR-oplysninger, kreditkortoplysninger eller lignende.
4) Virksomhedens medarbejdere videregiver ubevidst eller bevidst personoplysninger om en borger/kunde til en anden borger/kunde – eller måske flere andre uvedkommende personer.
5) Når manglede kryptering af virksomhedens hjemmeside indeholdende fx et kundelogin resulterer i, at en eller flere uvedkommende får direkte adgang til kundens personoplysninger.
Der arbejdes på, at anmeldelse til Datatilsynet kan ske på Virk.dk. fra den 25. maj 2018.
Den dataansvarlige skal også dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.
I tilfælde, hvor brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal virksomheden ikke alene foretage en anmeldelse til Datatilsynet, men også underrette den registrerede person om bruddet.
Underretningen til den registrerede person skal beskrive karakteren af bruddet på persondatasikkerheden og som minimum:
- angive navn på og kontaktoplysninger for arbejdsgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
- beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
- beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Den dataansvarlige skal underrette den registrerede uden unødig forsinkelse efter, at bruddet på persondatasikkerheden er påvist. Underretningen afhænger ikke af tidspunktet for, hvornår der sker anmeldelse af bruddet til Datatilsynet. Underretningen kan ske via e-mail, brev, sms eller lignende.
Det er ikke nødvendigt at underrette den registrerede, hvis en af følgende betingelser er opfyldt:
1) Den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, fx således at lækkede oplysninger er beskyttet af kryptering.
2) Den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
3) Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Ovenstående er information om visse af de gældende krav til databeskyttelse ved overgangen til de nye regler den 25. maj 2018. Vi vil i den kommende tid udsende flere artikler om emnet.
