Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Flere anmeldelser til Datatilsynet

NJORD Law Firm
29/04/2019
Flere anmeldelser til Datatilsynet
NJORD Law Firm logo

Med Databeskyttelsesforordningens ikrafttræden fulgte den dataansvarliges pligt til at anmelde brud på persondatasikkerheden til Datatilsynet.



Anmeldelsespligten og stigning i antallet af anmeldelser


Ifølge Databeskyttelsesforordningens art. 33 skal den dataansvarlige anmelde brud på persondatasikkerheden uden unødig forsinkelse, og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder.

Datatilsynet har offentliggjort en opgørelse over de anmeldelser om brud, som er modtaget i perioderne fra 25. maj 2018 til 31. december 2018 og fra 1. januar 2019 til 31. marts 2019.

Fra Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 frem til den 31. december 2018 har Datatilsynet modtaget 2.780 anmeldelser om brud på persondatasikkerheden og fra 1. januar 2019 til 31. marts 2019 har Datatilsynet modtaget 1.521 anmeldelser. Hvis man ser på det gennemsnitlige antal anmeldelser i de to perioder, er der sket en stigning fra ca. 400 anmeldelser pr. måned til ca. 500 anmeldelser pr. måned. Denne stigende tendens i antallet af anmeldelser hænger sammen med den fortsat stigende bevågenhed på persondataområdet efter Databeskyttelsesforordningens (og den heri indeholdte anmeldelsespligts) ikrafttræden.


Anmeldelsernes fordeling mellem den offentlige og den private sektor


I perioden lige efter Databeskyttelsesforordningens ikrafttræden var der en overvægt af anmeldelser fra dataansvarlige i den private sektor, men allerede i slutningen af 2018 havde dette ændret sig til, at der i stedet var en svag overvægt af anmeldelser fra dataansvarlige i den offentlige sektor. I perioden fra 1. januar 2019 til 31. marts 2019 fordeler anmeldelserne sig med 62% fra dataansvarlige i den offentlige sektor og 38% fra dataansvarlige i den private sektor. Desuden ses den generelle stigning i anmeldelsesantallet at være højere i den offentlige sektor end i den private sektor.


Anmeldelsernes fordeling mellem private brancher og offentlige institutioner


I den offentlige sektor er det i langt over halvdelen af tilfældene kommunerne, der foretager anmeldelser til Datatilsynet. Derudover stammer en del anmeldelser fra forskellige styrelser.

For den private sektors vedkommende er fordelingen mere jævn, men overtallet af anmeldelserne stammer i perioden fra 1. januar 2019 til 31. marts 2019 fra områderne for forsikring og pension samt banker, sparekasser og kreditforeninger.


Anmeldelsernes karakter


Over 2/3 af anmeldelserne vedrører situationer, hvor oplysninger, som følge af fejl i forbindelse med afsendelsen, er sendt til den forkerte modtager. Rigtig mange af anmeldelserne omhandler situationer, hvor persondata om én eller få borgere er sendt på en sikker måde – eksempelvis via e-boks – men til en forkert modtager.

Derudover er der situationer, hvor persondata via brevpost er sendt til modtagerens registrerede folkeregisteradresse, men hvor den registrerede enten er fraflyttet adressen med den følge, at adressens nye beboer modtager brevet, eller hvor postvæsnet fejlagtigt afleverer brevet på en forkert adresse.

En del af anmeldelserne vedrører situationer, hvor persondata ved en fejl ikke er undergivet den fortrolighed, som den dataansvarlige ellers har vurderet, er nødvendig for retmæssig behandling – eksempelvis hvor mails, i strid med den dataansvarliges vurdering og instruks, ikke sendes i krypteret form.

Hacking og lignende uretmæssige indgreb i systemerne fra udenforstående spiller en mindre rolle, end mange muligvis forestiller sig, og udgør alene mindre end 5% af det samlede antal anmeldelser.

Herudover fylder de tilfælde, hvor dokumenter eller fysiske enheder indeholdende persondata bliver stjålet fra aflåste opbevaringssteder eller mistet i det offentlige rum, også i anmeldelserne.

Formentlig på baggrund af de sidstnævnte tilfælde udtaler Datatilsynet i opgørelserne, at fysiske enheder – såsom telefoner, tablets, laptops, usb-sticks og transportable harddiske – som udgangspunkt slet ikke skal indeholde persondata. Hvis sådanne enheder alligevel indeholder persondata, så skal det ske under anvendelse af krypteringsmetoder som sikrer, at ingen uvedkommende kan læse de indeholdte persondata i tilfælde af, at enheden mistes.

Naturligvis skal der ske kryptering i nødvendigt omfang, men et udgangspunkt om, at de nævnte enheder slet ikke må indeholde persondata, risikerer måske at begrænse den frie udveksling af persondata, som omtalt i Databeskyttelsesforordningens art. 1, stk. 3.

Datatilsynet opfordrer herudover til, at virksomheder, der behandler persondata, har fokus på mere grundlæggende organisatoriske tiltag, der kan være med til at mindske risikoen – især hvor der eksempelvis anvendes automatisk udfyldelse af e-mailadresser, eller hvor breve sendes ud til mange modtagere ved hjælp af flettelister. Ved anvendelse af sådanne metoder er risikoen for fejl stor, og der ses fortsat mange anmeldelser om brud på dette område.


Datatilsynets behandling af anmeldelserne


I opgørelserne anfører Datatilsynet, at brud på persondatasikkerheden, som medfører risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder, som udgangspunkt mindst skal resultere i kritik fra Datatilsynet.

Hvor der derimod er tale om enkeltstående situationer, hvor der kun er ringe risiko for de nævnte rettigheder, og hvor de foranstaltninger, som den dataansvarlige har iværksat for at undgå gentagelse, anses som værende tilstrækkelige, vil Datatilsynet ikke finde anledning til at udtale kritik. Her vil hændelsen dog kunne indgå i Datatilsynets overvejelser i tilfælde af senere indkomne anmeldelser om brud hos samme virksomhed. Desuden vil sagen naturligvis kunne genoptages, hvis der senere fremkommer nye oplysninger af betydning.

Datatilsynet regner med, at ca. halvdelen af de modtagne anmeldelser afsluttes uden udtalelse af kritik.


Hvad spørger tilsynet om?


Datatilsynet har offentliggjort en liste over de temaer, som tilsynet har valgt især at fokusere på i forbindelse med de planlagte tilsyn i første halvår af 2019.

De offentliggjorte fokusområder er følgende:

  • Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder

  • Databeskyttelsesrådgiverfunktionen hos kommunerne

  • Kryptering af e-mails hos private virksomheder

  • Autorisation af medarbejdere hos kommunerne

  • Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder

  • Brug (og genbrug) af data i den kommunale forvaltning

  • Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder


Sammenlignet med de områder, som Datatilsynet havde fokus på i sidste halvår af 2018, tyder det på, at i hvert fald databeskyttelsesrådgiverfunktionen og den registreredes rettigheder (herunder indsigtsret) er områder, som der generelt vil være fokus på – også i fremtiden. Desuden er spørgsmålet om, hvorvidt der foreligger hjemmel for behandlingen særligt relevant, og må således tillige forventes at være i fokus i fremtiden.

Uanset hvilke områder, der indtil videre har været fokus på, er det vigtigt, at man som virksomhed, der behandler persondata, generelt handler i overensstemmelse med Databeskyttelsesforordningen, idet brud på persondatasikkerheden kan ske inden for alle områder, ligesom det skal erindres, at Datatilsynet kan komme på tilsyn i andre sammenhænge også – eksempelvis i forbindelse med en klage, hvorefter de vil undersøge disse forhold nærmere, i stedet for dem, der er offentliggjort i forbindelse med et sikkerhedsbrud.

 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted