Får du ikke allerede vores nyhedsmail, kan du tilmelde dig her.
19-06-2020 Håndtering af datasikkerhedsbrud, hvis uheldet er ude Databeskyttelsesreglerne stiller krav om, at alle dataansvarlige som udgangspunkt skal anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer. For at kunne håndtere et brud på persondatasikkerheden skal du først være i stand til at genkende et.
Eksempler på sikkerhedsbrud kan være:
Hvornår skal sikkerhedsbrud anmeldes Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Det er kun, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, at der ikke skal ske anmeldelse.
Ved vurderingen af, om et sikkerhedsbrud skal anmeldes til Datatilsynet, skal der lægges vægt på bl.a. følgende:
Hvis den dataansvarlige har været hurtig til at gribe ind og standse et sikkerhedsbrud, så bruddet ikke har nået at få konsekvenser for de berørte personer, kan det overvejes, at der ikke skal ske anmeldelse til Datatilsynet.
Den dataansvarlige skal kunne bevise, at det er usandsynligt, at bruddet har fået konsekvenser for de berørte personer. I tvivlstilfælde anbefales det derfor at anmelde bruddet til Datatilsynet.
Uanset anmeldelse eller ej er det som dataansvarlig vigtigt, at være forberedt og at have en procedure for håndtering af datasikkerhedsbrud. Det er i den forbindelse vigtigt, at registrere datasikkerhedsbrud. Som eksempel på et dokument, der kan bruges til en sådan registrering, se dette skema udarbejdet af Danske Advokater: Skabelon til brug for intern dokumentation ved brud på persondatasikkerheden
Husk at manglende efterlevelse af reglerne om anmeldelse af brud på persondatasikkerheden til Datatilsynet kan resultere i, at Datatilsynet f.eks. udtaler kritik eller udsteder et påbud til den dataansvarlige. Afhængigt af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere den manglende efterlevelse af reglerne med bøde.
Underretning af den registrerede Hvis et sikkerhedsbrud indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige ikke alene foretage anmeldelse til Datatilsynet, men også underrette den registrerede om bruddet. Gør den dataansvarlige ikke dette, har Datatilsynet mulighed for at gå ind i sagen og kræve, at den dataansvarlige foretager underretning af den registrerede.
Der er mange ting, man som dataansvarlig skal være opmærksom på i tilfælde af sikkerhedsbrud, og derfor kan det være en god ide, at man har en procedure på plads, inden uheldet er ude. Datatilsynet har udgivet en vejledning om håndtering af sikkerhedsbrud Datatilsynet har udgivet en række råd til at undgå simple sikkerhedsbrud
Sikkerhedsbrud kan anmeldes via Virk.dk.
Hvis du har spørgsmål eller kommentarer, kan du kontakte juridisk konsulent, Mette Fjord Kristensen på tlf. 33 43 70 14 eller mfk@danskeadvokater.dk. |
Tilbage |
Kontakt
Steen rådgiver medlemsvirksomheder i køb af it, har kendskab til leverandørerne af it-systemer og er i tæt dialog med domstolene ved udrulning af nye digitaliseringsprojekter.
Han er vores spidskompetence vedrørende it-relaterede emner som den digitale retsproces, digital tinglysning, sikker mail med retterne, ejendomsdatarapporter, cloud computing m.m.
Steen afholder løbende undervisning inden for it-relaterede emner.
33 43 70 21