Informasjon om GDPR
Kommunisere et brudd på personopplysninger til registrerte
I noen tilfeller må selskapene informere de registrerte om at det foreligger et brudd på personopplysningssikkerheten i henhold til GDPR. I tillegg er selskaper i visse tilfeller pålagt å varsle om brudd på personopplysninger til den nasjonale eller ansvarlige databeskyttelsesmyndigheten. Derfor er det viktig å alltid analysere hendelsen og lære opp ansatte i hva som kan utgjøre et brudd på personopplysningssikkerheten i henhold til GDPR.
Selskaper som informerer registrerte i tilfelle brudd på personopplysninger i visse tilfeller
I henhold til GDPR må selskapene i visse tilfeller informere de registrerte om et brudd på personopplysningssikkerheten som har oppstått. Dette skal være tilfellet når det er svært sannsynlig at bruddet på personopplysningssikkerheten vil sette de registrertes rettigheter og friheter i fare. For eksempel, hvis det er et datainnbrudd og tusenvis av kredittkortdetaljer blir lekket. Ved å informere de registrerte om forekomsten, kan de få mulighet til å beskytte seg selv ved å iverksette tiltak. For eksempel ved å blokkere kredittkortet hvis detaljer har lekket.
Opplysninger som skal gis til registrerte:
- Begrunnelse: Årsaken til at bruddet på personopplysningssikkerheten oppstod.
- Kontaktopplysninger: Kontaktinformasjonen til en firmaregistrant kan kontaktes. Hvis selskapet har en databeskyttelsesansvarlig, må hans eller hennes kontaktinformasjon oppgis.
- Konsekvenser: Beskrivelse av konsekvensene som kan oppstå som følge av bruddet på personopplysningssikkerheten.
- Tiltak: tiltak som foretaket har truffet for å minimere risikoene og håndtere bruddet på personopplysningssikkerheten.
Når selskapene ikke trenger å informere de registrerte
Tiltak som er truffet
Det er alltid bra for bedrifter å iverksette tiltak så raskt som mulig for å minimere effekten av bruddet på personopplysninger. For eksempel, hvis selskapet gjør personopplysninger uforståelige, for eksempel gjennom kryptering, trenger de ikke å informere de registrerte. Det samme gjelder dersom foretaket minimerer konsekvensene av et brudd på personopplysningssikkerheten som har inntruffet, og som følge av dette ikke lenger utgjør en høy risiko for de registrertes rettigheter og friheter.
Overdreven ulempe
I noen tilfeller kan et selskap ikke vite hvem de registrerte er, og i slike tilfeller kan det være umulig å kontakte dem personlig. I så fall skal selskapet offentliggjøre en melding for å informere de registrerte på en effektiv måte. For eksempel ved å skrive om bruddet på personopplysninger øverst på nettstedet på hjemmesiden.
Varsle personvernmyndigheten om et brudd på personopplysningssikkerheten
Visse brudd på personopplysningssikkerheten er meldepliktige. Bedrifter skal varsle om et slikt brudd på personopplysninger til den nasjonale databeskyttelsesmyndigheten innen 72 timer fra oppdagelsen. Hvis det ikke skjer i tide, er det brudd på GDPR som kan få konsekvenser. For eksempel mottok et selskap en bot på PLN 100 000 fra den polske databeskyttelsesmyndigheten for blant annet sen varsling.
Når du sender inn en melding om brudd på personopplysninger, må du huske på følgende
Alvorlighetsgrad
Det er viktig å vurdere alvorlighetsgraden av bruddet på personopplysningssikkerheten og dens potensielle konsekvenser. Vær oppmerksom på at selskapet bør vurdere virkningen på de berørte registrerte, ikke virkningen på selskapet.
Fullstendig melding
Når det oppstår et brudd på personopplysninger som skal varsles, kan selskapet ennå ikke ha all informasjon om bruddet. I slike tilfeller kan selskapet sende inn en foreløpig melding og deretter fullføre den.
Hvis selskapet som varsler den ledende DPAen, fyller ut at alvorlighetsgraden av konsekvensene som bruddet på personopplysningssikkerheten kan medføre, er betydelig eller svært viktig, må det som hovedregel informere de berørte registrerte.
Hvis et brudd på personopplysninger oppstår hos et selskap, er prosessoren
Foretak som er databehandlere behandler personopplysninger på vegne av og etter instruks fra en behandlingsansvarlig. Instruksjonene og annen informasjon om behandlingen er angitt i en databehandleravtale, som skal inngås skriftlig mellom partene i henhold til artikkel 28 i GDPR.
Ved brudd på personopplysninger av databehandleren knyttet til personopplysninger som er underlagt databehandleravtalen, skal den behandlingsansvarlige informeres om dette uten ugrunnet opphold.
I tillegg er det fordelaktig dersom databehandleravtalen spesifiserer hvordan databehandleren skal opptre i tilfelle brudd på personopplysningssikkerheten. Det er mulig å inkludere en kompetanse i kontrakten om at databehandleren skal varsle om et brudd på personopplysningssikkerheten direkte til den nasjonale personvernmyndigheten. Det samme gjelder kommunikasjonen av hendelsen til de registrerte.
Mer informasjon om personopplysninger
Brudd på grenseoverskridende personopplysninger
Når et selskap behandler personopplysninger knyttet til flere land innenfor EU, er det en grenseoverskridende behandling av personopplysninger. Dersom det oppstår et brudd på personopplysningssikkerheten som er knyttet til flere land i Unionen, er det et brudd på personopplysningssikkerheten over landegrensene.
Bedrifter som utfører grenseoverskridende behandling, må finne ut hvilken DPA som er ansvarlig. Hvis et brudd på personopplysninger skal varsles, er det opp til selskapet å varsle det. På den annen side kan registrerte sende inn en klage til sin nasjonale databeskyttelsesmyndighet eller noen andre i EU / EØS. Hvis DPA anser at en annen myndighet er ansvarlig for selskapet fordi de for eksempel har sitt hovedkvarter der, overfører de saken til den nasjonale DPA i det landet.