Oplysninger om GDPR
Underretning af registrerede om brud på persondatasikkerheden
I nogle tilfælde skal virksomheder informere de registrerede om ethvert brud på persondatasikkerheden, der har fundet sted i overensstemmelse med GDPR. Desuden skal virksomhederne i visse tilfælde anmelde bruddet på persondatasikkerheden til den nationale eller ansvarlige databeskyttelsesmyndighed. Derfor er det vigtigt altid at analysere, hvad der skete, og uddanne medarbejderne om, hvad der kan udgøre et brud på persondatasikkerheden i henhold til GDPR.
Virksomhederne underretter de registrerede i tilfælde af brud på persondatasikkerheden i visse tilfælde
I henhold til GDPR skal virksomheder i visse tilfælde informere registrerede om et brud på persondatasikkerheden, der har fundet sted. Dette skal ske, hvis der er stor sandsynlighed for, at bruddet på persondatasikkerheden indebærer en risiko for de registreredes rettigheder og frihedsrettigheder. For eksempel, hvis der er et brud på datasikkerheden, og tusindvis af kreditkortoplysninger lækkes. Ved at informere de registrerede om begivenheden kan de få mulighed for at beskytte sig selv ved at træffe foranstaltninger. For eksempel ved at blokere deres kreditkort, hvis oplysninger er blevet lækket.
Oplysninger, der skal gives til registrerede:
- Årsag: Årsagen til, at bruddet på persondatasikkerheden fandt sted.
- Kontaktoplysninger: Kontaktoplysningerne for en person i virksomheden, der er registreret, kan kontaktes. Hvis virksomheden har en databeskyttelsesrådgiver, skal dennes kontaktoplysninger oplyses.
- Konsekvenser: Beskrivelse af de konsekvenser, der kan opstå som følge af bruddet på persondatasikkerheden.
- Foranstaltninger: De foranstaltninger, som virksomheden har truffet for at minimere risiciene og håndtere bruddet på persondatasikkerheden.
Når virksomheder ikke behøver at informere de registrerede
Foranstaltninger, der er truffet
Det er altid godt for virksomheder at handle så hurtigt som muligt for at minimere konsekvenserne af bruddet på persondatasikkerheden. Hvis virksomheden f.eks. gør personoplysninger ulæselige, f.eks. gennem kryptering, behøver de ikke at underrette de registrerede. Det samme gælder, hvis virksomheden minimerer konsekvenserne af et brud på persondatasikkerheden, der resulterer i, at der ikke længere er en høj risiko for de registreredes rettigheder og frihedsrettigheder.
Urimelig ulempe
I nogle tilfælde kan det være, at en virksomhed ikke ved, hvem de registrerede er, og i sådanne tilfælde kan det være umuligt at kontakte dem personligt. I så fald skal virksomheden foretage en offentlig underretning for at informere de registrerede effektivt. For eksempel ved at omskrive brud på persondatasikkerheden øverst på hjemmesiden på hjemmesiden.
Indberetning af brud på persondatasikkerheden til databeskyttelsesmyndigheden
Nogle brud på persondatasikkerheden er anmeldelsespligtige. Virksomhederne skal anmelde et sådant brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed senest 72 timer efter dets opdagelse. Hvis det ikke sker til tiden, er det en overtrædelse af GDPR, der kan have konsekvenser. En virksomhed modtog f.eks. en bøde på 100 000 polske złoty fra den polske databeskyttelsesmyndighed for bl.a. at foretage en forsinket anmeldelse.
Når du indsender en anmeldelse af brud på persondatasikkerheden, skal du være opmærksom på følgende:
Graden af alvor
Det er vigtigt at vurdere alvoren af bruddet på persondatasikkerheden og dets mulige konsekvenser. Bemærk, at virksomheden bør vurdere indvirkningen på de berørte registrerede, ikke indvirkningen på virksomheden.
Fuldstændig meddelelse
Når et brud på persondatasikkerheden skal anmeldes, har virksomheden muligvis ikke alle oplysninger om bruddet endnu. I sådanne tilfælde kan virksomheden indgive en foreløbig anmeldelse og derefter udfylde den.
Hvis den virksomhed, der underretter den ansvarlige databeskyttelsesmyndighed, udfylder, at alvoren af de konsekvenser, som bruddet på persondatasikkerheden kan medføre, er betydelig eller meget betydelig, skal virksomheden som hovedregel underrette de berørte registrerede.
Hvis der sker et brud på persondatasikkerheden i en virksomhed, er databehandleren
Virksomheder, der er databehandlere, behandler personoplysninger på vegne af en dataansvarlig og i overensstemmelse med deres instrukser. Instrukserne og andre oplysninger om behandlingen er fastsat i en databehandlingsaftale, som skal indgås skriftligt mellem parterne i overensstemmelse med kravene i artikel 28 i GDPR.
I tilfælde af databehandlerens brud på persondatasikkerheden i forbindelse med personoplysninger, der er omfattet af databehandleraftalen, underrettes den dataansvarlige herom uden unødig forsinkelse.
Derudover er det fordelagtigt, hvis det fremgår af persondatabehandleraftalen, hvordan persondatabehandleren skal agere i tilfælde af brud på persondatasikkerheden. Det er muligt at medtage en kompetence i aftalen, således at databehandleren kan anmelde et brud på persondatasikkerheden direkte til den nationale databeskyttelsesmyndighed. Det samme gælder oplysninger om, hvad der skete med de registrerede.
Flere oplysninger om personlige hændelser
Grænseoverskridende brud på persondatasikkerheden
Når en virksomhed behandler personoplysninger vedrørende flere lande inden for EU, er det en grænseoverskridende behandling af personoplysninger. Hvis der er tale om et brud på persondatasikkerheden i forbindelse med flere lande i Unionen, er der tale om et grænseoverskridende brud på persondatasikkerheden.
Virksomheder, der udfører grænseoverskridende behandlingsaktiviteter, skal finde ud af, hvilken databeskyttelsesmyndighed der er ansvarlig. Hvis et brud på persondatasikkerheden skal indberettes, skal virksomheden indberette det til. Registrerede kan dog indgive en klage til deres nationale databeskyttelsesmyndighed eller en anden inden for EU/EØS-området. Hvis databeskyttelsesmyndigheden mener, at en anden myndighed er ansvarlig for virksomheden, f.eks. fordi den har sit hovedkontor der, overfører den sagen til den nationale databeskyttelsesmyndighed i det pågældende land.