Datatilsynet modtager flere hundrede anmeldelser af brud på persondatasikkerheden om ugen fra virksomheder og offentlige myndigheder.
Screening og visitation af anmeldelserne
Datatilsynet screener løbende alle anmeldte brud på persondatasikkerheden med henblik på at vurdere, om der er grundlag for at foretage sig yderligere i anledning af anmeldelsen. Datatilsynet foretager f.eks. en vurdering af hændelsens karakter og omfang, typerne af de omfattede personoplysninger, den dataansvarliges og evt. databehandlernes trufne foranstaltninger – både før og efter hændelsen – samt hvorvidt de påvirkede personer er blevet underrettet eller bør underrettes.
Datatilsynet foretager også altid en kategorisering af de anmeldte hændelser ud fra tilsynets hændelsestaksonomi. Dette sker for at sikre bedre viden om, hvilke typer af brud der anmeldes, hvilket bruges som led i tilsynets forebyggende og vejledende virksomhed. Læs mere om Datatilsynets statistik over anmeldte brud her.
I mange tilfælde er det ikke nødvendigt, at Datatilsynet foretager sig yderligere i anledning af anmeldelsen, og behandlingen af anmeldelsen afsluttes telefonisk eller med et afsluttende brev, som ikke er en formel afgørelse. I disse afsluttende breve, tager Datatilsynet således ikke stilling til, hvorvidt der er sket en overtrædelse af de databeskyttelsesretlige regler. Brevet kan bl.a. indeholde anbefalinger, som vurderes relevante i forhold til det anmeldte.
Iværksættelse af yderligere undersøgelser
Henset til det store antal anmeldelser, som Datatilsynet modtager, har tilsynet ikke mulighed for at foretage en tilbundsgående undersøgelse af alle brud. Nogle anmeldelser giver imidlertid anledning til supplerende spørgsmål og overvejelse af yderligere tiltag. Det kan være anmeldelser, som fremstår ufuldstændige eller uforståelige, eller som kræver opfølgning, efter at anmelder har foretaget undersøgelser af årsagen til bruddet. Yderligere undersøgelser sker typisk gennem høring af den dataansvarlige og eventuelle databehandlere. Hvilke skridt Datatilsynet foretager i forlængelse af de anmeldte brud beror på en konkret vurdering af, hvad der ud fra en hensigtsmæssig anvendelse af tilsynets ressourcer samlet set vurderes at være relevant og formålstjenesteligt.
Uanset om Datatilsynet indhenter yderligere oplysninger om et brud, vil tilsynet ofte også afslutte behandlingen af sådanne anmeldelser telefonisk eller med et afsluttende brev som nævnt ovenfor.
Hvis Datatilsynet vurderer, at der er sket en overtrædelse af de databeskyttelsesretlige regler, kan tilsynet imidlertid også vælge at træffe en afgørelse, hvor der udtales kritik eller alvorlig kritik. Tilsynet vil også kunne meddele påbud om, at den dataansvarlige eller databehandleren skal iværksætte specifikke foranstaltninger og/eller underrette de påvirkede personer. I sager, hvor Datatilsynet vurderer, at overtrædelsen har en vis alvor, kan tilsynet også vælge at anmelde forholdet til politiet, som herefter behandler sagen.
Hvis mange dataansvarlige har anmeldt sikkerhedsbrud vedrørende den samme hændelse hos en databehandler, kan Datatilsynet vælge at starte en sag af egen drift over for databehandleren. Det kan også ske, at en sag startes af egen drift på baggrund af mange tilsvarende anmeldelser fra den samme dataansvarlige over en længere periode.