Kapitel 12 1 Behandlingssikkerhed
Den dataansvarlige og databehandleren skal under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål og risicienes varierende sandsynlighed og alvor for fysiske personers rettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, navnlig for så vidt angår behandlingen af de særlige kategorier af personoplysninger, der er omfattet af § 10.
Stk. 2 For så vidt angår automatisk behandling, skal den dataansvarlige eller databehandleren på grundlag af en risikovurdering gennemføre foranstaltninger til at sikre, at
-
1) uautoriserede personer ikke kan få adgang til det behandlingsudstyr, der benyttes til behandling (kontrol med fysisk adgang til udstyret),
-
2) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af datamedier (kontrol med datamedier),
-
3) der ikke sker uautoriseret indlæsning af personoplysninger eller uautoriseret læsning, ændring eller sletning af opbevarede personoplysninger (kontrol med opbevaring),
-
4) automatiske behandlingssystemer ikke via datakommunikationsudstyr kan benyttes af uautoriserede personer (brugerkontrol),
-
5) personer med bemyndigelse til at anvende et automatisk behandlingssystem kun har adgang til de personoplysninger, der er omfattet af deres adgangstilladelse (kontrol med dataadgangen),
-
6) det er muligt at kontrollere og fastslå de modtagere, til hvilke der er blevet transmitteret eller stillet oplysninger til rådighed eller kan transmitteres eller stilles oplysninger til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol),
-
7) det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i automatiske behandlingssystemer, og hvornår og af hvem personoplysningerne blev indlæst (kontrol med indlæsning),
-
8) der ikke sker uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med overførsler af disse eller under transport af datamedier (transportkontrol),
-
9) de anvendte systemer i tilfælde af teknisk uheld kan genetableres (genopretning) og
-
10) systemet fungerer, at indtrufne fejl meldes (pålidelighed), og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet (integritet).
Stk. 3 Justitsministeren kan efter forhandling med vedkommende minister fastsætte regler om, at personoplysninger, der behandles i nærmere bestemte it-systemer, og som føres for den offentlige forvaltning, helt eller delvis alene må opbevares her i landet.
Kapitel 13 1 Brud på datasikkerheden
Ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige er blevet bekendt med bruddet, anmelde bruddet til tilsynsmyndigheden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder. En overskridelse af fristen på 72 timer skal begrundes.
Stk. 2 Databehandleren underretter uden unødig forsinkelse den dataansvarlige om et brud på persondatasikkerheden.
Stk. 3 Anmeldelsen efter stk. 1 skal
-
1) beskrive karakteren af bruddet på persondatasikkerheden, herunder i videst muligt omfang kategorierne af og det berørte antal registrerede og kategorierne af og det berørte antal registreringer af personoplysninger,
-
2) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,
-
3) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden og
-
4) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Stk. 4 Er det ikke muligt at forelægge oplysningerne, der er nævnt i stk. 3, samlet for tilsynsmyndigheden, skal oplysningerne meddeles trinvis uden unødig forsinkelse.
Stk. 5 Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, som er omfattet af stk. 1, herunder de faktiske omstændigheder vedrørende bruddet, bruddets virkninger og de trufne afhjælpende foranstaltninger.
Stk. 6 Omhandler bruddet på persondatasikkerheden oplysninger, der er transmitteret af eller til en dataansvarlig i en anden medlemsstat, skal oplysninger, der er nævnt i stk. 3, uden unødig forsinkelse meddeles til den dataansvarlige i denne medlemsstat.
Ved brud på persondatasikkerheden, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet.
Stk. 2 Underretningen skal i et klart og enkelt sprog beskrive karakteren af bruddet og indeholde de oplysninger, der er nævnt i § 28, stk. 3, nr. 2-4.
Stk. 3 Bestemmelsen i stk. 1 gælder ikke, hvis
-
1) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, herunder navnlig foranstaltninger, der f.eks. på grund af kryptering gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil,
-
2) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel, eller
-
3) det vil kræve en uforholdsmæssig indsats af den dataansvarlige.
Stk. 4 I de tilfælde, der er nævnt i stk. 3, nr. 3, skal der i stedet gives en offentlig meddelelse eller træffes tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
Stk. 5 Har den dataansvarlige ikke allerede underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.
Stk. 6 Underretning af den registrerede kan udsættes, begrænses eller undlades af de grunde, der er nævnt i § 14, stk. 1.