Skal databrud anmeldes til Datatilsynet?

Ja, som altovervejende hovedregel skal databrud anmeldes til Datatilsynet inden 72 timer efter det er konstateret. Anmeldelsen skal foretages af den dataansvarlige virksomhed. Konstateres bruddet af en databehandler, skal denne rapportere til den dataansvarlige, der herefter kontakter Datatilsynet.

Man kan kun undlade anmeldelse, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Dette vil i praksis sige, at der ikke har været reel mulighed for at kompromittere data. Som eksempel kan nævnes tab af en bærbar PC indeholdende personoplysninger, men hvor PC’en er krypteret med state-of-the-art kryptering (adgangskode er ikke nok).

En DPO bistår virksomheden med anmeldelsen til Datatilsynet og står for dialogen med tilsynet.