Datatilsynet har afsluttet en række tilsyn med virksomheders og myndigheders underretning af borgere i forbindelse med brud på persondatasikkerheden. Baggrunden for tilsynene var bl.a., at virksomheders og myndigheders underretning af registrerede i forbindelse med brud persondatasikkerheden var et af Datatilsynets fokusområder i 2022.
Tilsynene var skriftlige og tog udgangspunkt i Datatilsynets vurdering af konkrete eksempler på underretninger af borgere, som følgende virksomheder og myndigheder havde foretaget:
- Aarhus Kommune
- Alm. Brand Forsikring A/S
- Familieretshuset
- HK Danmark A/S
- LB Forsikring A/S
- Norlys Energi A/S
- Skattestyrelsen
- S/I Arbejdsmarkedets Erhvervssikring
- Tryg Forsikring A/S
- Udlændingestyrelsen
På baggrund af tilsynene kunne Datatilsynet konstatere, at virksomhederne og myndighederne for fremtiden skal være mere opmærksomme på, at underretningerne i alle tilfælde skal indeholde alle de oplysninger, der er påkrævet. Herudover fandt Datatilsynet i ét tilfælde anledning til at udtale kritik af, at en virksomhed ikke kunne påvise, at borgerne var blevet underrettet i overensstemmelse med de databeskyttelsesretlige regler.
De databeskyttelsesretlige krav til underretninger
En dataansvarlig skal som udgangspunkt underrette en borger, hvis et brud på persondatasikkerheden sandsynligvis indebærer en høj risiko for borgerens rettigheder og frihedsrettigheder. Et grundlæggende formål med underretningen er bl.a., at gøre borgeren i stand til at træffe de fornødne forholdsregler for at minimere den risiko, som bruddet kan medføre for borgeren.
Derfor skal underretninger som minimum indeholde en række oplysninger, der gør borgeren bedst mulig i stand til at træffe de fornødne forholdsregler, herunder f.eks. en beskrivelse af karakteren af bruddet i et klart og forståeligt sprog, en beskrivelse af de sandsynlige konsekvenser ved bruddet, eventuelle relevante anbefalinger for at mindske mulige skadevirkninger ved bruddet og en beskrivelse af de foranstaltninger, som den dataansvarlige selv har truffet eller vil træffe for at håndtere bruddet. Omstændighederne ved det konkrete brud vil i den forbindelse have en betydning for, hvilke oplysninger der er mest hensigtsmæssige at give til borgeren, men det er vigtigt, at oplysningerne er så detaljerede, at borgeren kan varetage sine rettigheder.
En dataansvarlig skal i øvrigt også kunne påvise, at en underretning har levet op til de databeskyttelsesretlige krav, herunder udgangspunktet om, at underretning skal foretages skriftligt.
Behandlingen af tilsynene gav Datatilsynet anledning til at udarbejde en vejledende tekst om de databeskyttelsesretlige krav til underretning, som virksomhederne og myndighederne fik tilsendt.
Vil du vide mere?
Læs Datatilsynets vejledende tekst om kravene til underretning af registrerede under fanen: De databeskyttelsesretlige krav til underretning af registrerede.