Bekendtgørelse om ansvar, opgaver og tilsyn i forbindelse med behandlingen af personoplysninger indeholdt i meddelelser og opbevaringen heraf i juridiske enheders digitale postkasse § 11

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 2020 af 29. oktober 2021

Underretning om brud på persondatasikkerhed til Datatilsynet
§ 11

Digitaliseringsstyrelsen underretter uden unødig forsinkelse den dataansvarlige juridiske enhed efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.

Stk. 2 Digitaliseringsstyrelsens underretning til den dataansvarlige juridiske enhed skal ske uden unødig forsinkelse og senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige juridiske enhed kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til Datatilsynet, jf. databeskyttelsesforordningens artikel 33. Den juridiske enhed underretter de registrerede om bruddet på persondatasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.

Stk. 3 Digitaliseringsstyrelsen kan på vegne af samtlige dataansvarlige juridiske enheder omfattet af denne bekendtgørelse, under hensyn til sagens karakter, bruddets omfang og såfremt bruddet omfatter Digital Post-løsningen, foretage en samlet anmeldelse til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1. Digitaliseringsstyrelsen underretter uden unødig forsinkelse den dataansvarlige juridiske enhed efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden, og inden en samlet anmeldelse sendes til Datatilsynet.

Stk. 4 I overensstemmelse med stk. 1 skal Digitaliseringsstyrelsen bistå den juridiske enhed med at foretage anmeldelse af bruddet til Datatilsynet. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som i medfør af databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarlige juridiske enheds anmeldelse af bruddet til Datatilsynet:

  • 1) Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger.

  • 2) De sandsynlige konsekvenser af bruddet på persondatasikkerheden.

  • 3) De foranstaltninger, som Digitaliseringsstyrelsen har udført som databehandler, og de foranstaltninger som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.