Skal de registrerede personer informeres om databrud?

Ja, i visse situationer skal de registrerede informeres om, at data vedrørende dem er blevet kompromitteret. Dette gælder, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Dette vil i praksis betyde, at der skal gives en orientering, f.eks. hvis de kompromitterede oplysninger er følsomme (f.eks. helbredsoplysninger), cpr-numre (pga. risikoen for identitetstyveri) eller kreditkortoplysninger. Disse eksempler er ikke udtømmende, og der skal foretages en konkret vurdering i hver situation.

En DPO er med til at vurdere, hvornår et databrud medfører krav om orientering til de registrerede.

Skal databrud anmeldes til Datatilsynet?

Ja, som altovervejende hovedregel skal databrud anmeldes til Datatilsynet inden 72 timer efter det er konstateret. Anmeldelsen skal foretages af den dataansvarlige virksomhed. Konstateres bruddet af en databehandler, skal denne rapportere til den dataansvarlige, der herefter kontakter Datatilsynet.

Man kan kun undlade anmeldelse, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Dette vil i praksis sige, at der ikke har været reel mulighed for at kompromittere data. Som eksempel kan nævnes tab af en bærbar PC indeholdende personoplysninger, men hvor PC’en er krypteret med state-of-the-art kryptering (adgangskode er ikke nok).

En DPO bistår virksomheden med anmeldelsen til Datatilsynet og står for dialogen med tilsynet.

Hvad er et databrud?

Et databrud er defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Eksempler på databrud kan være et hackerangreb, som kommer igennem virksomhedens firewall, eller tabet af en bærbar PC indeholdende personoplysninger.