GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

PERSONLIGE SINCIDENT

Grænseoverskridende brud på persondatasikkerheden

I nogle tilfælde kan brud på persondatasikkerheden være relateret til flere EU-medlemsstater. Med andre ord et grænseoverskridende brud på persondatasikkerheden. Hvis en virksomhed f.eks. har kunder i flere medlemsstater, og alle kundedata indsamles i et system på hovedkontoret, og virksomheden er offer for et brud på datasikkerheden, der resulterer i uautoriseret adgang til personoplysningerne.

Ledende tilsynsmyndighed i tilfælde af grænseoverskridende brud på persondatasikkerheden

Det er vigtigt for virksomheder, der foretager grænseoverskridende behandling af personoplysninger, at vide, hvem der er deres ledende tilsynsmyndighed. Det er normalt det samme land, hvor virksomheden har sit hovedforretningssted. For eksempel hvis en virksomhed sælger produkter inden for Norden og har hovedsæde i Danmark. Danmark er hovedforretningsstedet. I nogle tilfælde kan det dog være et andet lands tilsynsmyndighed, der alligevel er ansvarlig, hvis virksomheden træffer en afgørelse vedrørende GDPR om formålet mv. i et andet EU-land. 

What breaches of the GDPR can lead to an administrative fine?

Anmeldelse af brud på persondatasikkerheden

En vigtig grund til, at virksomheder har brug for at vide, hvilken tilsynsmyndighed der er ansvarlig, er at kunne anmelde brud på persondatasikkerheden i tide. Ifølge GDPR skal dette gøres inden for 72 timer efter opdagelsen. Hvis virksomheden ikke ved, hvilken myndighed der skal kontaktes på forhånd, kan det tage værdifuld tid fra dem. 

I tilfælde af grænseoverskridende brud på persondatasikkerheden: Registrerede kan foretage anmeldelser til enhver tilsynsmyndighed

Hvis en registreret ønsker at anmelde en overtrædelse af GDPR, kan vedkommende indsende den til en hvilken som helst tilsynsmyndighed i EU/EØS-området. Tilsynsmyndigheden kan derefter konkludere, at tilsynsmyndigheden i et andet land er mere egnet til at overtage sagen og i sådanne tilfælde overføre den. Det er derfor ikke så vigtigt for de registrerede at vide, i hvilket land virksomheden har sit hovedforretningssted, eller hvem der er den ledende tilsynsmyndighed. 

Tilsyn efter registrerede fra flere lande indgav klager: Direkte markedsføring i strid med GDPR

Den svenske databeskyttelsesmyndighed førte tilsyn med en virksomhed, efter at enkeltpersoner havde indgivet klager til databeskyttelsesmyndighederne i Italien, Polen og Det Forenede Kongerige. Da virksomheden har hovedsæde i Sverige, er den svenske databeskyttelsesmyndighed ansvarlig. Som følge heraf blev klagerne overført til den. Virksomheden skulle betale en bøde på SEK 350.000 for blandt andet ikke at ophøre med direkte markedsføring, når de modtog indsigelser fra de registrerede.

Læs mere om GDPR

Udførelse af en risikovurdering, når der forekommer personoplysninger

Når der sker et brud på persondatasikkerheden, skal virksomheden foretage en risikovurdering. Derefter kan virksomheden bedre afgøre, om den skal underrette de registrerede eller den ansvarlige databeskyttelsesmyndighed om bruddet på persondatasikkerheden. Risikovurderingen bør bl.a. omfatte oplysninger om karakteren og betydningen af bruddet på persondatasikkerheden. Det samme gælder de konsekvenser, som dette kan have for de registrerede, og om de registrerede er en yderligere beskyttelsesværdig gruppe (f.eks. børn, ældre eller personer med handicap). 

Vil du lære mere?

Læs mere
Scroll to Top