En virksomhed i Polen fik en bøde, fordi den undlod at anmelde brud på persondatasikkerheden rettidigt, hvilket skete som følge af en menneskelig fejl. Underretningen skulle finde sted inden for 24 timer efter opdagelsen af hændelsen, men blev indgivet til databeskyttelsesmyndigheden senere. Grunden til, at fristen er så kort, er at give databeskyttelsesmyndigheden mulighed for at handle hurtigt i tilfælde, hvor bruddet på persondatasikkerheden kan føre til f.eks. identitetstyveri, svig eller lignende.
Virksomheder i Polen anmeldte ikke brud på persondatasikkerheden rettidigt til den nationale databeskyttelsesmyndighed
I dette tilfælde overtrådte selskabet bestemmelserne i telekommunikationsloven og Kommissionens forordning nr. 611/2013, hvori det bl.a. hedder, at brud på persondatasikkerheden, der skal indberettes, skal indberettes inden for 24 timer. Desuden var det ikke kun et brud på persondatasikkerheden, der ikke blev indberettet rettidigt, men i alt fem hændelser. Den polske databeskyttelsesmyndighed tog hensyn til dette i sin afgørelse.
Virksomheden havde også indberettet ukorrekt til databeskyttelsesmyndigheden. De havde sendt meddelelserne via en postvirksomhed, hvilket krævede større inddragelse af dens ansatte, selv om databeskyttelsesmyndigheden havde meddelt virksomheden, at de skulle sende meddelelserne elektronisk. Agenturet påpegede, at det var hurtigst at indsende en anmeldelse via agenturets websted eller ePUAP-platformen.
Virksomheden skulle bl.a. betale en bøde for ikke rettidigt at have anmeldt brud på persondatasikkerheden.
Konsekvensen for den virksomhed, der ikke anmeldte bruddet på persondatasikkerheden rettidigt til den polske databeskyttelsesmyndighed, var en bøde. Bøden beløb sig til 100 000 PLN. Den maksimale bøde, der kan pålægges en virksomhed, er 20 mio. EUR eller 4 % af den samlede årsomsætning (den højeste af mulighederne). Med andre ord kan en bøde have ødelæggende økonomiske konsekvenser for en virksomhed.
GDPR-regler om indberetning af hændelser til den nationale databeskyttelsesmyndighed
I henhold til GDPR skal virksomheder indberette visse typer brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed. Underretningen om bruddet på persondatasikkerheden skal derefter finde sted senest 72 timer efter opdagelsen i henhold til artikel 33 i GDPR. I visse særlige tilfælde kan det dog være tilladt at melde sig efter 72 timer. I sådanne tilfælde skal virksomheden kunne begrunde sin beslutning. Hvis der f.eks. er mange brud på persondatasikkerheden på samme tid af forskellige årsager. Bemærk venligst, at virksomheden kan supplere sin efterfølgende rapport.
