Vælg kontor
Privat
Erhverv
Nyheder
Om advodan


Menu

Persondata

Databrud

Fra d. 25. maj 2018 skal virksomheder være meget opmærksomme på deres forpligtelser til at lave anmeldelser til Datatilsynet, når de oplever brud på persondatasikkerheden.


Som noget nyt med forordningen indtræder der en generel forpligtelse for alle dataansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet.

Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet.

Samtidig skal man i visse tilfælde underrette de registrerede i tilfælde af brud.

Hvad er et brud?

Et brud på sikkerheden er en hændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret opbevaret eller på anden måde behandlet. Det kunne være brand, indbrud, en tabt computer osv. Hændelsen kunne også være et brud på informationssikkerhedspolitikken, såsom hackerangreb, svigt at kontroller osv.

Det kan også være den dataansvarlige selv, der forårsager sikkerhedsbruddet ved fx ubeføjet at videregive eller ændre personoplysningerne.

Et brud kan i værste fald påføre personer skade, fx et tab af kontrol over deres personoplysninger, identitetstyveri eller tab af fortrolighed på tavshedsbelagte personoplysninger, hvilket kan have både økonomiske og sociale konsekvenser for den berørte person.
 

Hvornår skal anmeldelse ske?

Når den dataansvarlige er blevet bekendt med, at der er sket et brud på persondatasikkerheden, skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer efter, at denne er blevet bekendt med det, anmelde bruddet til Datatilsynet. Foretages anmeldelsen til Datatilsynet ikke inden for 72 timer, skal den ledsages af en begrundelse for forsinkelsen.

Anmeldelsen skal ske, hvis det er sandsynligt, at et brud på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Som udgangspunkt er det den dataansvarlige, som anmelder et brud på persondatasikkerheden til Datatilsynet, også hvis sikkerhedsbruddet er sket hos en databehandler.

Det er vigtigt på dette punkt at få en klar aftale/procedure ind i databehandleraftalen mellem den dataansvarlige og databehandleren, så den dataansvarlige kan overholde sin anmeldelsespligt. Man kan fx i en databehandleraftale aftale, at databehandleren kan anmelde et brud direkte til Datatilsynet. Ansvaret er dog stadig hos den dataansvarlige.

Hvad skal anmeldelsen indeholde?

Anmeldelsen til Datatilsynet skal som minimum:

  • beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger,
  • angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
  • beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og
  • beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. 

Den dataansvarlige må gerne forsyne Datatilsynet med flere informationer end ovenstående, hvis dette vurderes formålstjenligt.

Datatilsynet vil også kunne kræve yderligere oplysninger af den dataansvarlige, hvis dette er nødvendigt i forbindelse med behandlingen af anmeldelsen.

Underretning af de registrerede

Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for personers rettigheder, skal den dataansvarlige ikke alene foretage en anmeldelse til Datatilsynet, men også underrette de registrerede om bruddet.

Formålet med underretningen er bl.a. at give de registrerede mulighed for at træffe de fornødne forholdsregler i tilfælde af, at der er sket kompromittering af deres personoplysninger. Den dataansvarlige skal underrette den registrerede direkte, fx via e-mail, brev, sms eller lignende.

Underretninger til de registrerede skal gives, så snart det med rimelighed er muligt. Underretningen afhænger ikke af tidspunktet for, hvornår der sker anmeldelse af bruddet til Datatilsynet. Underretningen til den registrerede skal beskrive karakteren af bruddet på persondatasikkerheden og som minimum:

  • angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
  • beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og
  • beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Bemærk, at i Datatilsynets vejledning er der både i vejledningen og i vejledningens bilag medtaget mange eksempler på brud og hvem der skal underrettes.

Har du brug for hjælp til Persondata?

Indtast dit postnummer og find nummeret på en af vores dygtige advokater i nærheden af dig.

Læs også

Har du brug for hjælp til Persondata?

Indtast dit postnummer og find nummeret på en af vores dygtige advokater i nærheden af dig.

Du er her
GØR SOM 12.362 ANDRE. SE MERE HER
Gør som 12.362 andre

Tilmeld dig vores nyhedsbreve og bliv opdateret på juraen i din hverdag. Vi sender ud to gange hver måned.

Når du udfylder formularen og trykker ”Ja tak, tilmeld mig nu”, giver du samtykke til, at ADVODAN sender dig nyhedsbreve med lokale arrangementer, nyheder og gode råd om jura.

ADVODAN opbevarer og benytter udelukkende de indtastede oplysninger som led i udsendelse af nyhedsbreve. Behandlingen af oplysningerne sker sikkert, fortroligt og i overensstemmelse med gældende lovgivning.

Du kan til enhver tid tilbagekalde dit samtykke og afmelde dig nyhedsbreve fra ADVODAN ved at bruge linket i bunden af nyhedsbrevet.

Læs mere om ADVODANs behandling af personoplysninger her.