GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Informasjon om GDPR

Selskaper for å forhindre brudd på personopplysninger

Selskaper skal forhindre brudd på personopplysninger ved å implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak. Et brudd på personopplysninger oppstår når for eksempel personopplysninger ved et uhell slettes eller endres. Det samme gjelder når en uautorisert person har tilgang til personopplysninger. 

Brudd på personopplysningssikkerheten kan ha stor innvirkning på de registrerte

I noen tilfeller kan brudd på personopplysninger ha en stor ødeleggende innvirkning på registrerte. Et brudd på personopplysningssikkerheten kan for eksempel føre til: 

  • Identitetstyveri. 
  • Svindel.
  • Diskriminering av kvinner.
What breaches of the GDPR can lead to an administrative fine?

Selskaper for å forhindre brudd på personopplysninger i henhold til GDPR

Det er flere ting selskaper kan gjøre for å forhindre brudd på personopplysninger. I tillegg er det viktig å handle så raskt som mulig hvis det skjer, da det kan minimere konsekvensene. Det er derfor nyttig å skape en god sikkerhetskultur i selskapets virksomhet. 

Her er noen eksempler på hva selskaper kan gjøre for å forhindre brudd på personopplysninger:

Measures that companies need to take to comply with GDPR

Rutiner

Det er viktig å oppdage brudd på personopplysninger så raskt som mulig. Det er derfor nyttig å lage skriftlige interne prosedyrer for ansatte som er klare på hvordan de skal gjøre det. For eksempel gjennom regelmessige kontroller av tilgangstillatelser, testing av sårbarheter i digitale systemer, etc.

Subjektivt integritetskänsliga personuppgifter

Handlingsplan

Foretaket bør forberede seg før det oppstår et brudd på personopplysningssikkerheten på hva de ansatte skal gjøre dersom det oppstår et brudd på personopplysningssikkerheten. Dette vil tillate dem å handle raskere. Handlingsplanen kan også suppleres med en sjekkliste. Slike bevis letter prosessen og håndteringen av bruddet på personopplysninger som har skjedd, som alle sikrer riktig handling i henhold til GDPR.

Dokumentasjon

Det er viktig å dokumentere alle brudd på personopplysningssikkerheten, da det er et krav under GDPR. Dette gjelder også for personopplysningsansvarlige som ikke trenger å bli varslet til den ledende databeskyttelsesmyndigheten eller de registrerte. Derfor er det viktig at selskapet sørger for at dokumentasjonen som er nødvendig for å dokumentere et brudd på personopplysningssikkerheten, blir produsert. For eksempel en loggbok og tilhørende sjekkliste.

European Data Protection Board (EDPB) har publisert retningslinjer med eksempler på varsler om brudd på data. Den beskriver de ulike bruddene på personopplysninger og vurderer deres mulige effekter. Retningslinjene er nyttige for å forstå analysene som må utføres i tilfelle brudd på personopplysninger. (Seher)

Bindende avgjørelse av European Data Protection Board om et brudd på personopplysninger

Den irske databeskyttelsesmyndigheten, sammen med flere andre EU-databeskyttelsesmyndigheter, gjennomførte tilsyn mot et stort selskap etter at de varslet om et brudd på personopplysninger. På den annen side var DPA-ene som deltok fra de andre EU-landene ikke enige i beslutningen som ble foreslått av den irske DPA. De henviste derfor til EDPBs prosedyre for tvisteløsning. 

Bruddet gjaldt innlegg fra nesten 90 000 brukere som hadde blitt offentlige på grunn av programmeringsfeil. EDPB gjorde blant annet oppmerksom på at datasubjekter ønsket å begrense leserkretsen ved å ha innleggene sine privat. Konsekvensen for selskapet var en bot på EUR 450 000, utstedt av den irske databeskyttelsesmyndigheten.

Den europeiske unions domstols holdning til erstatning for brudd på personopplysningssikkerheten: Ifølge EU-domstolen kan registrerte som har fått sine personopplysninger lekket, ha rett til kompensasjon

Ifølge EU-domstolen kan registrerte som har fått sine personopplysninger lekket, ha rett til erstatning dersom det er berettiget frykt for at de vil bli misbrukt i fremtiden. EU-domstolen hadde mottatt en forespørsel om en foreløpig avgjørelse fra den bulgarske høyesterett, etter at flere personer saksøkte de bulgarske skattemyndighetene. Deres personopplysninger hadde lekket og de krevde derfor erstatning. EU-domstolen fant at de registrerte kan ha rett til erstatning. På den annen side er det ikke hva en ledende databeskyttelsesmyndighet søker, men hva de registrerte kan kreve seg selv, muligens ved å bringe en sak mot skattemyndigheten for en domstol. Vær oppmerksom på at skader og straffer ikke er de samme. 

Mer informasjon om innhenting av personopplysninger

Informere de registrerte og den nasjonale personvernmyndigheten i tilfelle brudd på personopplysningssikkerheten

I noen tilfeller må selskaper som oppdager et brudd på personopplysningssikkerheten, informere de registrerte det gjelder. I tillegg må selskaper varsle brudd på personopplysninger til den nasjonale databeskyttelsesmyndigheten, eller den ledende databeskyttelsesmyndigheten i visse tilfeller. Uansett om selskapet trenger å informere de registrerte eller DPA, må bruddet på personopplysninger alltid dokumenteres av selskapet. Vær oppmerksom på at fristen for å varsle om brudd på personopplysninger er 72 timer fra oppdagelsen. 

Lyst til å lære mer?

Les mer
Skroll til toppen