Guidelines om anmeldelse af brud på persondata­sikkerheden

Artikel 29-gruppen har sendt en vejledning om anmeldelse af brud på ‎persondatasikkerheden i høring.

Databeskyttelsesforordningen indeholder et nyt krav om, at der ved brud på ‎persondatasikkerheden skal ske anmeldelse til tilsynsmyndigheden (som i Danmark er ‎Datatilsynet). Hvis persondata eksempelvis utilsigtet offentliggøres på internettet, skal ‎den dataansvarlige ”uden unødig forsinkelse”, og senest 72 timer efter den ‎dataansvarlige er blevet bekendt med bruddet, anmelde det til Datatilsynet. Pligten ‎gælder dog ikke, hvis det er usandsynligt, at bruddet indebærer risiko for fysiske ‎personers rettigheder eller frihedsrettigheder.‎

I tilfælde af høj risiko for fysiske personers rettigheder og frihedsrettigheder skal der ‎desuden ske underretning af de berørte personer uden unødig forsinkelse. ‎

Artikel 29-gruppen, der består af medlemmer fra de enkelte nationale datatilsyn i ‎Europa, har nu nærmere forholdt sig til, hvad der forstås ved et brud på ‎persondatasikkerheden, hvilke informationer der skal gives til tilsynsmyndigheden, samt ‎hvordan man skal forholde sig i forhold til de berørte personer. Herudover kommer artikel ‎‎29-gruppen med eksempler på brud på persondatasikkerheden med tilhørende angivelse ‎af, om der skal ske anmeldelse.‎

Udkastet kan læses her, og der ‎er mulighed for at komme med bemærkninger og input til de udarbejdede guidelines til ‎og med den 28. november 2017. ‎

Artikel 29-gruppen har på tilsvarende vis sendt en vejledning om profilering i høring. ‎Udkastet kan tilgås her.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet