Oplysninger om GDPR
Virksomheder skal forhindre brud på persondatasikkerheden
Virksomhederne skal forhindre brud på persondatasikkerheden ved at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger. Et brud på persondatasikkerheden opstår, når personoplysninger f.eks. slettes eller ændres utilsigtet. Det samme gælder, når en uautoriseret person får adgang til personoplysninger.
Brud på persondatasikkerheden kan have store konsekvenser for de registrerede
I nogle tilfælde kan brud på persondatasikkerheden have store ødelæggende konsekvenser for de registrerede. Et brud på persondatasikkerheden kan f.eks. føre til:
- Identitetstyveri,
- Svig,
- Forskelsbehandling.
Virksomheder skal forhindre brud på persondatasikkerheden i overensstemmelse med GDPR
Der er flere ting, som virksomheder kan gøre for at forhindre brud på persondatasikkerheden. Derudover er det vigtigt at handle så hurtigt som muligt, hvis dette sker, da det kan minimere konsekvenserne. Derfor er det godt at skabe en god sikkerhedskultur i virksomhedens drift.
Her er nogle eksempler på, hvad virksomheder kan gøre for at forhindre brud på persondatasikkerheden:
Rutiner
Det er vigtigt at opdage brud på persondatasikkerheden så hurtigt som muligt. Derfor er det godt at skabe skriftlige interne procedurer for medarbejdere, der er klare om, hvordan de skal kunne gøre det. F.eks. gennem regelmæssig kontrol af adgangstilladelser, test af sårbarheder i digitale systemer osv.
Handlingsplan
Virksomheden bør inden et brud på persondatasikkerheden forberede sig på, hvad medarbejderne skal gøre, hvis det sker. På den måde kan de handle hurtigere. Handlingsplanen kan også suppleres med en tjekliste. En sådan dokumentation letter processen og håndteringen af bruddet på persondatasikkerheden, hvilket alt sammen sikrer en korrekt fremgangsmåde i overensstemmelse med GDPR.
Dokumentation
Det er vigtigt at dokumentere alle brud på persondatasikkerheden, da dette er et krav i henhold til GDPR. Dette gælder også for dataansvarlige, som ikke skal anmeldes til den ansvarlige databeskyttelsesmyndighed eller de registrerede. Derfor er det vigtigt, at virksomheden sørger for at fremlægge den dokumentation, der er nødvendig for at dokumentere et brud på persondatasikkerheden. F.eks. en logbog og tilhørende tjekliste.
Det Europæiske Databeskyttelsesråd (EDPB) har offentliggjort retningslinjer med eksempler på anmeldelse af brud på persondatasikkerheden. Der beskriver de forskellige brud på persondatasikkerheden og gennemgår deres mulige virkninger. Retningslinjerne er nyttige til at forstå de analyser, der skal foretages i tilfælde af brud på persondatasikkerheden. (Se her)
Databeskyttelsesrådets bindende afgørelse om brud på persondatasikkerheden
Den irske databeskyttelsesmyndighed førte sammen med flere andre EU-databeskyttelsesmyndigheder tilsyn med en stor virksomhed, efter at den havde indberettet et brud på persondatasikkerheden. De databeskyttelsesmyndigheder, der deltog fra de øvrige EU-lande, var imidlertid ikke enige i den afgørelse, som den irske databeskyttelsesmyndighed havde foreslået. De henviste derfor til Databeskyttelsesrådets tvistbilæggelsesprocedure.
Persondatahændelsen handlede om indlæg fra næsten 90.000 brugere, der var blevet offentlige på grund af programmeringsfejl. Databeskyttelsesrådet bemærkede bl.a., at de registrerede ønskede at begrænse læserskare ved at have deres indlæg private. Konsekvensen for virksomheden var en bøde på 450 000 EUR udstedt af den irske databeskyttelsesmyndighed.
EU-Domstolens holdning til erstatning for brud på persondatasikkerheden: Ifølge EU-Domstolen kan registrerede, der har fået deres personoplysninger lækket, have ret til erstatning
Ifølge EU-Domstolen kan registrerede, der har fået deres personoplysninger lækket, have ret til erstatning, hvis der er en legitim frygt for, at de vil blive misbrugt i fremtiden. Domstolen havde modtaget en anmodning om præjudiciel afgørelse fra Bulgariens øverste forvaltningsdomstol, efter at flere personer havde sagsøgt de bulgarske skattemyndigheder. Deres personoplysninger var blevet lækket, og de krævede derfor erstatning. Den Europæiske Unions Domstol fastslog, at registrerede kan have ret til erstatning. På den anden side er dette ikke noget, som en ansvarlig databeskyttelsesmyndighed anmoder om, men noget, som de registrerede selv kan kræve, eventuelt ved at anlægge sag mod skattemyndigheden i retten. Vær opmærksom på, at skader og sanktioner ikke er de samme.
Flere oplysninger om personlige hændelser
Underretning af registrerede og den nationale databeskyttelsesmyndighed i tilfælde af brud på persondatasikkerheden
I nogle tilfælde skal virksomheder, der opdager et brud på persondatasikkerheden, underrette de registrerede, der er berørt af det. Desuden skal virksomhederne anmelde bruddet på persondatasikkerheden til den nationale databeskyttelsesmyndighed eller den ledende databeskyttelsesmyndighed i visse tilfælde. Uanset om virksomheden skal informere de registrerede eller databeskyttelsesmyndigheden, skal bruddet på persondatasikkerheden altid dokumenteres af virksomheden. Bemærk venligst, at fristen for at anmelde et brud på persondatasikkerheden er 72 timer fra det tidspunkt, hvor det blev opdaget.