EU-forordning om procedure ved brud på persondatasikkerheden

Dato 14 aug. 2013
Download PDF version PDF

 

Denne gang ser MWBe Updated – Persondataret på vedtagelsen af en forordning om proceduren, når teleselskaber mister eller får stjålet personoplysninger i EU.

 

EU-forordning om procedure ved brud på persondatasikkerheden

EU-Kommissionen har indført en række nye regler for den procedure, som teleselskaber og internetudbydere skal følge, såfremt deres kunders personoplysninger stjæles, mistes eller på anden måde bringes i fare.

Formålet med reglerne er at sikre, at alle kunder får ens behandling i EU i tilfælde af brud på datasikkerheden, samt at der anvendes en fælles EU-tilgang, såfremt virksomheden opererer i mere end én medlemsstat.

Baggrunden er, at teleselskaber og internetudbydere er i besiddelse af en række oplysninger om deres kunder. Disse oplysninger er eksempelvis kundens navn, adresse, bankoplysninger, samt oplysninger om hvem de ringer til og oversigt over hjemmesidebesøg.

De nye regler betyder blandt andet:

  • Virksomheden skal ved brud på datasikkerheden informere den kompetente myndighed om hændelsen inden for 24 timer efter bruddet. Såfremt der ikke kan ske en fuldstændig underretning, skal foreløbige oplysninger gives inden for 24 timer, hvorefter den fuldstændige underretning skal gives inden for tre dage.
  • Ved underretningen skal virksomheden præcisere, hvilke oplysninger der er berørt, og hvilke foranstaltninger der er eller vil blive truffet.
  • Virksomheden skal tage højde for, hvilken type af oplysninger bruddet vedrører, f.eks. finansielle oplysninger, browserhistorik, internetlogfiler, lokaliseringsdata, e-maildata og opkaldslister, når den vurderer, om kunden skal underrettes. Denne vurdering sker på baggrund af en test, der viser, om bruddet kan forventes at krænke privatlivets fred.
  • Ved underretningen til den nationale kompetente myndighed, skal virksomheden anvende et standardiseret format, f.eks. en online-formular, der er ens i alle medlemsstater.

I forbindelse med fremsættelsen af forslaget til forordningen opfordrede Kommissionen virksomhederne til at kryptere modtagne personoplysninger, således at et brud på datasikkerheden ikke medfører en underretningspligt over for kunden, idet bruddet så ikke vil afsløre kundens personoplysninger.

Forordningen træder i kraft den 25. august 2013.


Vores vurdering

Det er vores vurdering, at de nye regler vil skabe mere klarhed for virksomhederne over, hvilke krav de skal opfylde og hvordan.

(Læs EU-Kommissionens pressemeddelelse her.)

(Kommissionens forordning (EU) nr. 611/2013)

 

Kontakt os, hvis du har spørgsmål eller brug for rådgivning.

Nicolai Hesgaard
nhe@mwblaw.dk
+45 33 77 90 30

Henrik Syskind
hsp@mwblaw.dk
+45 33 77 90 25


Maria Thomsen
mth@mwblaw.dk
+ 45 33 77 90 17


Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.