Vejledning om databeskyttelse – Spørgsmål 11

Gå til forsiden til Vejledning om databeskyttelse for initiativtagere

Vejledning om databeskyttelse – Spørgsmål 11

Hvad skal man gøre i tilfælde af brud på persondatasikkerheden?  

Gælder for scenarie 2, undtagen ved brug af Kommissionens filudvekslingstjeneste.

Et brud på persondatasikkerheden er et brud på sikkerheden, der fører til utilsigtet eller ulovlig(t) destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er overført, lagret eller på anden måde behandlet.

Anmeldelse af brud på persondatasikkerheden

Ved brud på persondatasikkerheden skal repræsentanten for initiativtagergruppen uden unødig forsinkelse og i princippet senest 72 timer, efter at denne er blevet bekendt med bruddet på persondatasikkerheden, anmelde det til den kompetente databeskyttelsesmyndighed, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Anmeldelsen skal som minimum indeholde:

• en beskrivelse af bruddet på datasikkerheden, herunder antallet af berørte underskrivere og de berørte kategorier af oplysninger
• navn og kontaktoplysninger på databeskyttelsesrådgiveren (eller en anden relevant kontaktperson)
• de sandsynlige konsekvenser af bruddet på datasikkerheden efter en vurdering af sagen og
• eventuelle foranstaltninger, som den dataansvarlige har truffet for at afhjælpe eller begrænse sikkerhedsbruddet.

Hvis det ikke er muligt at sende disse informationer samlet, kan de sendes opdelt og hurtigst muligt.

Repræsentanten skal også dokumentere de faktiske omstændigheder, konsekvenserne af dem og de afhjælpende foranstaltninger, der er truffet (eller som skal træffes hurtigst muligt, med angivelse af frister).

Risici vedrørende rettigheder og frihedsrettigheder

Hvis bruddet kan medføre en høj risiko for underskrivernes rettigheder og frihedsrettigheder, skal de desuden underrettes om det, undtagen:

• hvis de gennemførte foranstaltninger (f.eks. kryptering, forudsat at krypteringsnøglen er intakt) har gjort dataene ulæselige eller sikrer, at risiciene med stor sandsynlighed ikke længere eksisterer, eller
• hvis en individuel henvendelse til underskriverne vil indebære en uforholdsmæssig stor indsats. I så fald kan man i stedet give en offentlig meddelelse om bruddet, underskriverne underrettes på denne måde.

BEMÆRK: 

I tilfælde af databehandling under fælles dataansvar med Kommissionen, og medmindre bruddet på datasikkerheden kan tilskrives initiativgruppemedlemmernes adfærd, er det Kommissionen, der sørger for ovenstående. Initiativtagergruppen skal om nødvendigt og så vidt muligt bistå Kommissionen med at håndtere brud på persondatasikkerheden.

Henvisninger:

• Artikel 33 og 34 i GDPR
• Kommissionens spørgsmål og svar om databeskyttelse – "Hvad er et brud på datasikkerheden, og hvad skal vi gøre i tilfælde af brud på datasikkerheden?"