Harmonisering af procedure ved brud på persondatasikkerhed i telebranchen

06 september 2013

Kommissionen har vedtaget en forordning, som skal sikre harmoniserede regler i tilfælde af brud på persondatasikkerheden. Forordningen gælder for teleselskaber og internetudbydere.

Forordningen er en følge af Kommissionens beføjelse i ePrivacy Direktivet om at sikre tekniske virkemidler ved sikkerhedsbrud på persondata. Forordningen indebærer få skærpelser, men generelt skal forordningen ses som en foranstaltning til at harmonisere EU-landenes regler.

Allerede forinden forordningens ikrafttræden havde Danmark etableret regler om underretningspligt for virksomheder til den relevante nationale myndighed, Erhvervsstyrelsen, såfremt der skete brud på persondatasikkerheden. Brud på persondatasikkerheden omfatter tilfælde, hvor kunders personoplysninger offentliggøres, stjæles eller på anden måde bringes i fare.

En vigtig ændring i forordningen i forhold til direktivet, er, at virksomhedens obligatoriske indberetning nu pålægges en frist på 24 timer. Ved større brud gives der dog mulighed for, at virksomheden først indberetter den fulde rapport inden 72 timer.

Derudover er virksomhederne ifølge forordningen forpligtet til at indberette præcis hvilke data, der er berørt af sikkerhedsbruddet, samt vurdere om der er grundlag for at kontakte kunden, for at oplyse denne om, at der er sket en krænkelse af vedkommendes privatliv. Kommissionen foreslår, at der oprettes en fælles online formular til underrettelse af den nationale sikkerhedsmyndighed, således at alle myndigheder modtager ens information.  

Harmoniseringen ønskes blandt andet, fordi data ofte er let at flytte over grænser, men også fordi virksomhederne i tele- og internetbranchen ofte operere i flere lande. Dermed kan landenes myndigheder opnå et bedre samarbejde på tværs af grænserne. Den fælles online formular skal ses i dette lys.

Endvidere er indberetningsfristerne i overensstemmelse med de indrapporteringsfrister for brud på persondatasikkerheden, der er lagt op til i udkastet til den nye persondataforordning, der skal erstatte det nuværende persondatadirektiv (i Danmark implementeret ved Persondataloven).

Grunden til de skrappe regler for teleselskaber og internetudbydere er, at de er i besiddelse af væsentlige informationer, såsom bankoplysninger og browser- samt opkaldshistorik. Den forkortede frist signalerer en skrap politik i forhold til personoplysninger, som skal ses i sammenhæng med Kommissionens fokus på forbrugerhensyn (”Den digitale dagsorden”). Se blandt andet denne pressemeddelelse fra Kommissionen om netop telebranchen og forbrugere.

Læs Kommissionens pressemeddelelse om forordningen her.

Link til at underrette Erhvervsstyrelsen om brud på persondatasikkerheden i din virksomhed.