GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR

Brudd på grenseoverskridende personopplysninger

I noen tilfeller kan brudd på personopplysningssikkerheten være relatert til flere EU-land. Med andre ord, et grenseoverskridende brudd på personopplysninger. For eksempel, hvis et selskap har kunder i flere medlemsstater, og alle kundedata samles inn i et hovedkontorsystem, og selskapet er underlagt et datainnbrudd som fører til uautorisert tilgang til personopplysningene.

Ledende tilsynsmyndighet ved brudd på personopplysningssikkerheten over landegrensene

Det er viktig for selskaper som utfører grenseoverskridende behandling av personopplysninger å vite hvilken som er deres ledende tilsynsmyndighet. Det er vanligvis det samme landet hvor selskapet har sitt hovedforetak. For eksempel, hvis et selskap selger produkter innenfor Norden og har hovedkontor i Danmark. Danmark er det viktigste etablissementet. På den annen side kan det i noen tilfeller være et annet lands tilsynsmyndighet som fortsatt er ansvarlig dersom selskapet treffer beslutning om GDPR for formålet mv. i et annet EU-land. 

What breaches of the GDPR can lead to an administrative fine?

Varsle brudd på personopplysninger

En viktig grunn til at bedrifter trenger å vite hvilken tilsynsmyndighet som er ansvarlig, er å kunne varsle om brudd på personopplysninger i tide. GDPR krever at dette gjøres innen 72 timer etter påvisning. Hvis selskapet ikke vet hvilken myndighet som skal kontaktes på forhånd, kan det ta verdifull tid fra dem. 

Ved brudd på personopplysningssikkerheten over landegrensene: De registrerte kan varsle enhver tilsynsmyndighet

Hvis en registrert person ønsker å sende inn en klage som påstår brudd på GDPR, kan de sende den til en tilsynsmyndighet i EU / EØS. Tilsynsmyndigheten kan da konkludere med at en annen stats tilsynsmyndighet er mer egnet til å overta saken og i slike tilfeller overføre den. Derfor er det mindre viktig for de registrerte å vite hvilket land selskapet har sin hovedvirksomhet eller hvem som er den ledende tilsynsmyndigheten. 

Tilsyn etter klager fra registranter fra flere land: Direkte markedsføring i strid med GDPR

Den svenske DPA-en førte tilsyn med et selskap etter at enkeltpersoner hadde klaget til DPA-ene i Italia, Polen og Storbritannia. Siden selskapet har hovedkontor i Sverige, er det den svenske databeskyttelsesmyndigheten som er ansvarlig. Klagene ble derfor oversendt Kommisjonen. Selskapet måtte betale en bot på SEK 350 000 fordi de blant annet ikke stoppet direkte markedsføring etter at de hadde mottatt innvendinger fra de registrerte.

Mer informasjon om GDPR

Gjennomføre en risikovurdering når personopplysninger forekommer

Ved brudd på personopplysningssikkerheten skal foretaket foreta en risikovurdering. Deretter kan selskapet bedre avgjøre om de trenger å kommunisere brudd på personopplysninger til de registrerte eller til den ledende DPA. Risikovurderingen bør blant annet omfatte opplysninger om arten og betydningen av bruddet på personopplysningssikkerheten. Det samme gjelder mulige konsekvenser for de registrerte og hvorvidt de registrerte er en tilleggsgruppe som fortjener beskyttelse (for eksempel barn, eldre eller funksjonshemmede). 

Lyst til å lære mer?

Les mer
Skroll til toppen