Datatilsynet udtaler alvorlig kritik af datatilsynet

Her kommer du måske til at trække lidt på smilebåndet, men det viser jo bare, at det der med GDPR ikke er helt nemt – selv for eksperter.

Du kan også lære lidt af historien, nemlig at databrud skal anmeldes til Datatilsynet inden for 72 timer, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personer.

Du kan også få inspiration til, hvordan du bl.a. kan beskrive, hvilke konsekvenser et databrud kan have for den registrerede.

Sagen

Datatilsynets medarbejdere havde løbende printet dokumenter ud fra Datatilsynets sagsbehandlingssystem. Dokumenterne kan have indeholdt fortrolige og følsomme personoplysninger, og de skulle derfor makuleres efter brug, men ved en menneskelig fejl kom papiret i en forkert container og blev ikke makuleret. Det er en fejl, der kan medføre, at personoplysninger kommer til uvedkommendes kendskab. Det er også et databrud, som skal anmeldes til Datatilsynet indenfor 72 timer. Ved en ny fejl blev bruddet ikke anmeldt inden for fristen.

Da Datatilsynet ikke kendte identiteten på de personer, der risikerede, at deres personoplysninger kom til uvedkommendes kendskab, orienterede Datatilsynet via en meddelelse på tilsynets hjemmeside. Meddelelsen indeholdt bl.a. en redegørelse for bruddets karakter og de sandsynlige konsekvenser af bruddet, samt hvad Datatilsynet havde gjort for at håndtere bruddet eller begrænse skadevirkningerne. Læs Datatilsynets orientering nedenfor.

Sagen endte med, at Datatilsynet udtalte alvorlig kritik af Datatilsynet. De fleste tidligere sager mod andre myndigheder eller virksomheder er endt uden, at der er udtalt egentlig kritik. I denne sag, hvor tilsynsmyndigheden på databeskyttelsesområdet, som burde have styr på det, har begået fejl, var der dog grundlag for at skærpe tonen.

Hvad er et databrud?

Der er tale om databrud, når personoplysninger kommer til uvedkommendes kendskab. Det kan være noget så simpelt som, når du sender en mail med personoplysninger til en forkert modtager. Eller når medarbejdere i din virksomhed, eller andre, skaffer sig adgang til personoplysninger, som de ikke burde have adgang til. Det er også et databrud, hvis du ved en fejl offentliggør oplysninger om dine kunder på din hjemmeside, eller at uvedkommende får adgang til personoplysninger, fordi du har opbevaret dem uden, at de er tilstrækkeligt beskyttet.

Databrud skal anmeldes via virk.dk, men du kan også finde et link på Datatilsynets hjemmeside.

Hvornår skal du underrette den registrerede, og hvad skal der stå i underretningen?

Den registrerede skal underrettes om et databrud, når der er en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det kan fx være identitetstyveri, økonomisk tab, svindel, skade på personens omdømme. Der stilles krav til, hvilke oplysninger en underretning skal indehold. Du finder kravene i Datatilsynets vejledning nedenfor.

Artiklen blev oprindeligt publiceret på fdih.dk