GDPR forpligter virksomheder og organisationer til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden og at meddele enkeltpersoner om bruddet. Til at understøtte dette nye tiltag, har Artikel 29-Gruppen udsendt et udkast til retningslinjer herom.

I tilfælde af et brud på persondatasikkerheden skal den dataansvarlige anmelde bruddet til tilsynsmyndigheden uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet.

Artikel 29-Gruppen forklarer i retningslinjerne, at ”blevet bekendt med” betyder, at man ”har en rimelig grad af sikkerhed for, at der er sket en sikkerhedshændelse, som har ført til kompromittering af persondata”.

Den dataansvarlige betragtes ikke som værende ”bekendt med” i den indledende undersøgelse af sikkerhedshændelsen, som skal igangsættes hurtigst muligt. Så snart den dataansvarlige har konstateret, at hændelsen har ført til kompromittering af persondata, anses den dataansvarlige for at være ”bekendt med” og skal dernæst underrette tilsynsmyndigheden, hvis bruddet udgør en sandsynlig risiko for enkeltpersoner.

Anmeldelsen
Databehandlere skal underrette den dataansvarlige uden unødig forsinkelse, dvs. straks. Anmeldelser af brud på persondatasikkerheden til en tilsynsmyndighed skal som minimum indeholde følgende oplysninger.

  • Arten af bruddet på persondatasikkerheden: En beskrivelse af typerne af enkeltpersoner, hvis data er berørt af bruddet, en beskrivelse af de berørte typer persondata samt antallet af berørte registreringer af persondata.
  • Navn og kontaktoplysninger på databeskyttelsesrådgiverne eller en anden kontaktperson.
  • De sandsynlige følger af bruddet på persondatasikkerheden og de foranstaltninger, der er truffet eller foreslås truffet af den dataansvarlige til håndtering af bruddet på persondatasikkerheden.

Hvis disse oplysninger ikke kan tilvejebringes inden for 72 timer, er det (i særlige tilfælde) tilladt at foretage en forsinket eller faseopdelt anmeldelse. I sådanne tilfælde skal den forsinkede anmeldelse begrundes. Når virksomheder står over for komplicerede sikkerhedsbrud, der kræver en betydelig efterforskningsmæssig indsats, kan de også vælge at underrette tilsynsmyndigheden og komme med oplysninger ad flere omgange, efterhånden som de ved mere om bruddet.

Risiko for personer
Ved sikkerhedsbrud, hvor det ikke er sandsynligt, at bruddet udgør en risiko for fysiske personers rettigheder og frihedsrettigheder, er der ikke krav om, at bruddet skal anmeldes til tilsynsmyndigheden. Det kan være tilfældet, hvis persondataene allerede var gjort tilgængelige, eller hvis krypterede oplysninger er blevet lækket, hvor krypteringsnøglens fortrolighed er intakt.

Hvis der er sandsynlighed for, at bruddet på persondatasikkerheden vil udgøre en stor risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige også underrette de personer, hvis persondata er berørt af bruddet. Grænsen for, hvornår enkeltpersoner skal underrettes om et sikkerhedsbrud, er højere end grænsen for, hvornår tilsynsmyndighederne skal underrettes. Enkeltpersoner skal underrettes om et brud ”uden unødig forsinkelse”. Straksunderretning vil gøre det muligt for enkeltpersoner at beskytte sig selv mod de skadelige følger, et brud kan have.

Meddelelsen om bruddet til enkeltpersoner skal som minimum indeholde samme oplysninger som anmeldelsen af bruddet til tilsynsmyndigheden. Den dataansvarlige skal helst også rådgive enkeltpersonerne om, hvordan de kan beskytte sig selv mod de eventuelle skadelige følger af bruddet.

Underretning af de berørte personer
Sikkerhedsbruddet skal meddeles de berørte personer direkte. For at kunne gøre dette opfordres de dataansvarlige til at anvende meddelelser, der er udarbejdet til formålet, og som ikke indeholder andre oplysninger, som f.eks. nyhedsbreve, updates eller andre almindelige meddelelsesformater.

Det er ikke nødvendigt at underrette de berørte personer om sikkerhedsbruddet, hvis:

  • Den dataansvarlige har truffet passende tekniske og organisatoriske beskyttelsesforanstaltninger, der gør persondataene uforståelige for personer, som ikke har tilladelse til at tilgå dem såsom kryptering.
  • Den dataansvarlige efterfølgende har truffet foranstaltninger, der sikrer, at det ikke længere er sandsynligt, at de registreredes rettigheder og frihedsrettigheder udsættes for en stor risiko.
  • En direkte meddelelse ville kræve en uforholdsmæssig stor indsats, hvor en offentlig meddelelse eller lignende foranstaltning i så fald ville være nok til på effektiv vis at informere enkeltpersonerne.

Det er naturligvis anbefalelsesværdigt at foretage en revurdering, efterhånden som forholdene ændrer sig, og det måske alligevel bliver nødvendigt at underrette enkeltpersonerne om bruddet. Selv om en virksomhed beslutter sig for ikke at underrette de berørte registrerede, kan tilsynsmyndigheden dog stadig kræve det, hvis det er sandsynligt, at bruddet vil udgøre en stor risiko for de berørte personer.

Artikel 29-Gruppen råder generelt dataansvarlige, der er blevet bekendt med et brud, til ikke kun at dæmme op for bruddet, men til også at vurdere den risiko, der kan være forbundet med det. Det vil gøre det nemmere for den dataansvarlige at træffe effektive foranstaltninger til at dæmme op for og håndtere bruddet, samt beslutte om det er nødvendigt at anmelde det til tilsynsmyndigheden og de berørte personer. Hvis den dataansvarlige er i tvivl, opfordres denne til at underrette tilsynsmyndigheden.

I tråd med ansvarlighedsprincippet fremhæver Artikel 29-Gruppen forpligtelsen til også at føre en intern fortegnelse over alle brud på datasikkerheden uanset graden af risiko, og hvad der måtte være af grunde til ikke at underrette tilsynsmyndighederne eller informere de berørte personer om et brud på persondatasikkerheden.