Datatilsynet finder ingen anledning til kritik efter tilsyn med Ase Lønmodtagers anmeldelse af brud på persondatasikkerheden

Datatilsynet gennemførte i 2019 et skriftligt tilsyn hos Ase Lønmodtager for at undersøge, om virksomheden overholder databeskyttelsesforordningens artikel 33 vedrørende anmeldelse og dokumentation af brud på persondatasikkerheden. Tilsynet fokuserede på, om Ase Lønmodtager anmelder brud i overensstemmelse med Databeskyttelsesforordningen § 33, stk. 1 og dokumenterer alle brud som krævet i Databeskyttelsesforordningen § 33, stk. 5. Datatilsynet anmodede også om en redegørelse for Ase Lønmodtagers uddannelse af medarbejdere i håndtering af brud på persondatasikkerheden.

Ase Lønmodtager fremsendte dokumentation for registrerede brud, procesbeskrivelser og undervisningsmateriale. Virksomheden oplyste at have registreret fire brud på persondatasikkerheden i perioden fra 25. maj 2018 til 8. marts 2019, men vurderede, at ingen af disse skulle anmeldes til Datatilsynet.

Afgørelse

Datatilsynet konkluderede, at Ase Lønmodtagers behandling af personoplysninger overordnet set er i overensstemmelse med Databeskyttelsesforordningen § 33.

• Ase Lønmodtager har iværksat de nødvendige foranstaltninger for at overholde kravene i Databeskyttelsesforordningen § 33, stk. 1 for at sikre, at brud på persondatasikkerheden opfanges, registreres og vurderes med henblik på anmeldelse.
• Ase Lønmodtager har samlet set levet op til kravene i Databeskyttelsesforordningen § 33, stk. 5 vedrørende dokumentation af brud på persondatasikkerheden.
• Ase Lønmodtager har gennemført passende uddannelsesaktiviteter for at understøtte identifikation og håndtering af brud på persondatasikkerheden.

Datatilsynet var enig i Ase Lønmodtagers vurdering af, at de fire registrerede hændelser ikke skulle anmeldes, da det var usandsynligt, at de indebar en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. Databeskyttelsesforordningen § 33, stk. 1.