Skal de registrerede personer informeres om databrud?

Ja, i visse situationer skal de registrerede informeres om, at data vedrørende dem er blevet kompromitteret. Dette gælder, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Dette vil i praksis betyde, at der skal gives en orientering, f.eks. hvis de kompromitterede oplysninger er følsomme (f.eks. helbredsoplysninger), cpr-numre (pga. risikoen for identitetstyveri) eller kreditkortoplysninger. Disse eksempler er ikke udtømmende, og der skal foretages en konkret vurdering i hver situation.

En DPO er med til at vurdere, hvornår et databrud medfører krav om orientering til de registrerede.