Persondataforordningen, også kaldet GDPR (General Data Protection Regulation), er et kerneområde inden for databeskyttelse. Med DLA Piper som din rådgiver står din virksomhed stærkere. Vi har dels en dybtgående viden om det komplicerede retsområde, som persondataretten er, og vi har stor praktisk erfaring med at omsætte de komplekse regler til praktisk håndterbare løsninger for vores kunder.

Databeskyttelsesforordningen trådte i kraft i 2018.  Forordningen indeholder en række rettigheder og pligter på området for databeskyttelse. Det er særligt de dataansvarlige og databehandlerne der er pålagt pligter, mens den registrerede er tilkendt rettigheder.

Databeskyttelsesforordningens formål er at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger, jf. art. 1 i forordningen. Forordningen regulerer dog også de tilfælde, hvor behandlingen ikke, af flere forskellige årsager, har været sikkerhedsmæssigt betryggende. Disse tilfælde eller hændelser karakteriseres som ”brud på persondatasikkerheden”.

Definitionen af et sikkerhedsbrud findes i art. 4, nr. 12. Et sikkerhedsbrud er herefter et brud ” der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Definitionen opererer med fire typer af hændelser, nemlig ”tilintetgørelse”, ”tab” ”beskadigelse/ændring” og ”uautoriseret videregivelse eller behandling”.

Tilintetgørelse

Ved tilintetgørelse forstås, at personoplysningerne ikke længere er tilgængelige, f.eks. fordi de er slettet, eller fordi de ikke længere eksisterer i en form, som den dataansvarlige/databehandleren kan anvende.

Beskadigelse

Beskadigelse foreligger, når oplysningerne bliver ændret, ødelagt eller på anden måde ikke er fuldstændige.

Tabt

Personoplysningerne anses for tabt, når den dataansvarlige ikke længere har adgang til eller er i besiddelse af oplysningerne. Et eksempel her er hvis den dataansvarlige har personoplysningerne gemt på et USB-stik, som vedkommende efterfølgende mister.

Uautoriseret videregivelse eller behandling

Den sidste type af brud er uautoriseret adgang eller videregivelse af oplysninger.

Artikel 29-gruppen, der er en uafhængig arbejdsgruppe i EU der beskæftiger sig med persondataret, har grupperet de forskellige typer af sikkerhedsbrud under tre kategorier:

• Brud på fortrolighed: Et brud på fortroligheden foreligger, når personoplysningerne uautoriseret eller hændeligt er blevet videregivet til uvedkommende, eller når uvedkommende personer har fået adgang til dem.
   
• Brud på integritet: Integriteten ved personoplysningerne anses for at være brudt, hvis de uautoriseret eller hændeligt er blevet ændret.
   
• Brud på tilgængelighed: Hvis oplysningerne hændeligt eller uautoriseret er blevet tabt eller tilintetgjort, er der indtrådt et brud på tilgængeligheden.

Der har særligt været tvivl om brud på tilgængeligheden også omfattede midlertidige tab af tilgængelighed.

I retningslinjerne til Databeskyttelsesforordningen fra 2016 antager Artikel 29-gruppen, at et midlertidigt tab af personoplysninger også udgør et brud på tilgængeligheden. Der henvises her til art. 32, som foreskriver en pligt for den dataansvarlige og databehandleren til at indføre passende tekniske organisatoriske foranstaltninger for bl.a. at sikre de registreredes rettigheder og frihedsrettigheder.

En foranstaltning skal desuden efter art. 32, stk. 1, litra b være egnet til at sikre vedvarende fortrolighed, integritet og tilgængelighed.
Et midlertidigt tab af adgang til personoplysningerne kan medføre negative risici for de registrerede personers rettigheder og frihedsrettigheder. Desuden medfører et midlertidigt tab, at kravet om vedvarende adgang i art. 32, stk. 1, litra b ikke er opfyldt.

Konsekvenser for den enkelte ved brud

Et brud på persondatasikkerheden kan potentielt medføre alvorlige konsekvenser for den registrerede. Skaden, som den registrerede potentielt bliver påført, kan være af fysisk, materiel og/eller immateriel karakter. Dette følger af betragtning 85 i Databeskyttelsesforordningen. De mulige konsekvenser er:

• Tab af kontrol over personoplysninger
• Begrænsning af rettigheder
• Forskelsbehandling
• Identitetstyveri – eller svig
• Finansielle tab
• Uautoriseret ophævelse af pseudonymisering
• Skade på omdømme
• Tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt

Listen er ikke udtømmende, og der kan forekomme andre betydelige økonomiske eller sociale skader for den berørte, fysiske person. Dette fremgår også af betragtningen.

Procedure ved brud

Den dataansvarlige og databehandleren er forpligtet til at indføre passende tekniske og organisatoriske foranstaltninger for at imødegå de risici der er forbundet med databehandlingen, jf. art. 32.  Ved vurderingen af sikkerhedsniveauet skal den dataansvarlige eller databehandleren tage hensyn til bl.a. det aktuelle tekniske niveau, implementeringsomkostningerne, de registreredes rettigheder og frihedsrettigheder samt behandlingens karakter, omfang og risiciene forbundet med denne.

I tilfælde af et sikkerhedsbrud opstår der en række forpligtelser for den dataansvarlige og databehandleren. Forpligtelserne er foreskrevet i art. 33 og 34.

Art. 33 vedrører anmeldelsespligten. Ved et brud på persondatasikkerheden skal den dataansvarlige underrette den nationale tilsynsmyndighed om bruddet, jf. art. 33, stk. 1. Dette skal ske uden unødig forsinkelse og senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet. Anmeldelsespligten gælder dog ikke, hvis det er usandsynligt, at bruddet vil medføre en risiko for de involverede, fysiske personers rettigheder eller frihedsrettigheder. Med frihedsrettigheder forstås de rettigheder, der er indeholdt i EU’s charter om grundlæggende rettigheder.

Om sikkerhedsbruddet medfører en ”risiko” for de implicerede personers rettigheder eller frihedsrettigheder er en konkret vurdering. Artikel 29-gruppen fremhæver følgende eksempler i deres meddelelse:

• Personalet på et hospital mister adgangen til helbredsoplysningerne for hospitalets patienter. Der foreligger her et brud på tilgængeligheden. Dette brud kan have alvorlige konsekvenser for patienternes helbred, da det kan påvirke deres behandlinger. Patienternes frihedsrettigheder er dermed i risiko, hvorfor episoden skal anmeldes.

• En medievirksomhed har mistet adgangen til personoplysningerne på dets abonnenter. Konsekvensen er, at virksomheden ikke kan sende nyhedsbreve ud i det tidsrum, hvor oplysningerne er utilgængelige. Omend der foreligger et sikkerhedsbrud, nemlig et brud på tilgængeligheden, er det tvivlsom om de implicerede personers rettigheder eller frihedsrettigheder er i risiko.

Databehandlerens forpligtelser er reguleret i art. 33, stk. 2. Databehandleren er forpligtet til at underrette den dataansvarlige, hvis der foreligger et sikkerhedsbrud. Databehandleren skal ikke, modsat den dataansvarlige, vurdere om bruddet indebærer en risiko for de implicerede personers rettigheder eller frihedsrettigheder.  

I art. 33, stk. 3 oplistes alle de oplysningerne, som en anmeldelse efter stk. 1 skal indeholde.

Ved et brud på persondatasikkerheden skal den dataansvarlige også underrette den registrerede om bruddet uden unødig forsinkelse jf. art. 34, stk. 1. Dette er dog kun påkrævet hvis bruddet indebærer en høj risiko for den registreredes rettigheder og frihedsrettigheder. Underretningen til den registrerede skal indeholde de samme oplysningerne, som underretningen til tilsynsmyndigheden, jf. art. 34, stk. 2.

En underretning til den eller de registrerede er dog ikke påkrævet i tre tilfælde. Disse er oplistet i art. 34, stk. 3 og er:

• Den dataansvarlige har indført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger bliver anvendt på de berørte personoplysninger

• Den dataansvarlige indfører foranstaltningerne efter bruddet, som medfører, at risikoen for de registreredes rettigheder eller frihedsrettigheder ikke længere er reel.

• Hvis en individuel underretning vil være for uforholdsmæssig. Her skal der i stedet udsendes en offentlig meddelelse eller lignende, som sikrer at de registrerede underrettes på en effektiv måde.

Hvad du skal være opmærksom på?

Hvis du eller din virksomhed behandler persondata, skal du være opmærksom på, at behandlingen er forbundet med risici for brud på persondatasikkerheden. Du eller din virksomhed skal derfor have indført passende foranstaltninger, der sikrer at personoplysningerne bliver behandlet sikkert. Hvis et brud på persondatasikkerheden forekommer, skal du være opmærksom på underretningsforpligtelsen til hhv. Datatilsynet og den registrerede.

Hvis du er i tvivl om, hvorvidt din virksomhed overholder lovgivningen, eller hvis du vil vide mere om persondatareglerne i Danmark og EU, er du meget velkommen til at kontakte vores team af persondataeksperter helt uforpligtende. Vi har ydet rådgivning om og givet undervisning i persondata gennem mange år til både danske og udenlandske virksomheder inden for forskellige brancher.

Hvis du har enkelte spørgsmål til GDPR som du ikke har fundet her på siden, så kan du muligvis finde svaret på denne side.