Både offentlige myndigheder og private virksomheder og organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko for den registreredes rettigheder, som vil være forbundet med et givent brud på persondatasikkerheden.
Oplever man som dataansvarlig et brud på persondatasikkerheden, som indebærer en høj risiko for den registreredes rettigheder og frihedsrettigheder, er man forpligtet til at underrette den registrerede om bruddet uden unødig forsinkelse, jf. databeskyttelsesforordningens artikel 34.
Hvad vil det sige at foretage en vurdering
Der findes ikke i databeskyttelsesforordningen en definition af begrebet ”høj risiko”. Det forudsættes dog, at jo mere alvorlige konsekvenser bruddet kan medføre, jo større vil risikoen være for de berørte personer. Tilsvarende vil en større sandsynlighed for, at et brud vil få konsekvenser for de registrerede ligeledes indebære en større risiko.
Er det således helt sikkert eller næsten helt sikkert, at bruddet vil få konsekvenser for den registrerede, skal man som dataansvarlig underrette denne. Underretningen skal ligeledes ske, hvis de mulige konsekvenser er meget alvorlige, uanset hvor lille sandsynligheden for konsekvensernes indtræden er.
Som dataansvarlig bør man tage alle de mulige konsekvenser og negative virkninger i betragtning. Dette omfatter således også de eventuelle ”sekundære” konsekvenser for de registrerede. En sekundær konsekvens vil f.eks. kunne opstå i forbindelse med et læk af adgangskoder til en konto, idet mange brugere anvender samme adgangskode på forskellige konti. Bruddet vil således også medføre brud på fortroligheden i forbindelse med en anden konto.
Vurderingen bør ligeledes indeholde en stillingtagen til personoplysningernes karakter og antallet af uberettiget modtagere.
Hvornår kan den dataansvarlige undlade at underrette
Der er en række situationer, hvor man som dataansvarlig kan undlade at underrette den registrerede.
Bruddet ikke indebærer en høj risiko for den registrerede.
Her tænkes bl.a. på situationen, hvor man i en mindre forening sender en fælles mail til modtagerne med de øvrige modtageres e-mailadresser i cc-feltet i stedet for i bcc- feltet.
Den dataansvarlig har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.
Her tænkes f.eks. på den situation, hvor der er truffet foranstaltninger, der gør personoplysninger uforståelige for enhver, der ikke har autoriseret adgang hertil, f.eks. kryptering.
Hvis underretningen kræver en uforholdsmæssig indsats.
Hvorvidt underretningen vil kræve en uforholdsmæssig indsats, afhænger af en afvejning mellem de konsekvenser som bruddet kan have for den registrerede og den dataansvarliges arbejdsindsats. Et eksempel på en situation hvor underretningen ville være uforholdsmæssig er den, hvor en virksomhed har mistet kontrollen over sine kundeoplysninger i forbindelse med et ransomware angreb.
I de situationer hvor den dataansvarlige finder, at det vil være uforholdsmæssigt at underrette den enkelte registrerede, kan den dataansvarlige i stedet udstede en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Hvis den høje risiko, grundet efterfølgende foranstaltninger, ikke længere er reel.
Foretager den dataansvarlige, efter at have konstateret et brud på persondatasikkerheden, efterfølgende foranstaltninger og på den baggrund konkluderer, at risikoen ikke længere er reel, behøver den dataansvarlige ikke at underrette den registrerede.
Hvem har ansvaret
Det er den dataansvarlige, som har ansvaret for, at der sker underretning af den registrerede. Det er ligeledes den dataansvarlige som har bevisbyrden for at en af undtagelserne til underretningspligten gør sig gældende.
Hvis du som dataansvarlig ikke allerede har underrettet den registrerede, kan Datatilsynet efter en vurdering af sandsynligheden for, at bruddet indebærer en høj risiko, kræve, at du underretter den registrerede.