Nye afgørelser: Manglende underretning af registrerede

Dato: 27-02-2020

I to sager gav Datatilsynet påbud om, at virksomheden skulle underrette kunderne om et sikkerhedsbrud.

Datatilsynet har samlet behandlet to relaterede sager om brud på persondatasikkerheden. I begge sager havde de dataansvarlige vurderet, at der ikke skulle ske underretning af de registrerede. Oplysningerne var primært navn, kontakt- og adresseoplysninger samt købshistorik.

Da der var tale om et betydeligt antal registrerede (mere end 250.000), og da de dataansvarlige ikke havde vurderet risikoen særskilt for den delmængde af de registrerede, der måtte have hemmelig eller udeladt adresse, foretog Datatilsynet en vurdering af risikoen for denne gruppe af registrerede. Da tilsynet vurderede risikoen for disse registrerede som værende høj, pålagde Datatilsynet de dataansvarlige at underrette de registrerede, der måtte have hemmelig eller udeladt adresse.

Afgørelsen fastslår, at der selv i ellers homogene behandlinger af oplysninger, som generelt ikke har en høj risikoprofil, kan være forhold for den enkelte registrerede, der indebærer en høj risiko. Den risikovurdering, der foretages af den dataansvarlige – for om der skal ske underretning – skal afspejle sådanne individuelle forhold.

Læs mere

Læs afgørelsen for nemlig.com

Læs afgørelsen for Intervare

Læs vejledningen om håndtering af brud på persondatasikkerheden

Hør Datatilsynets podcastepisode om brud på persondatasikkerheden