Datatilsynet har genomfört ett antal inspektioner av företags och myndigheters underrättelser till medborgare i samband med personuppgiftsincidenter. I samband med detta har Datatilsynet tagit fram en vägledande text om kraven på underrättelse.
Bakgrunden till inspektionerna var bland annat att företags och myndigheters underrättelser till registrerade i samband med personuppgiftsincidenter var ett av Datatilsynets fokusområden under 2022. Inspektionerna skrevs och baserades på Datatilsynets bedömning av specifika exempel på anmälningar av medborgare som gjorts av följande företag och myndigheter:
- Aarhus Kommune
- Alm. Brand Forsikring A/S
- Familieretshuset
- HK Danmark A/S
- LB Forsikring A/S
- Norlys Energi A/S
- Skattestyrelsen
- S/I Arbejdsmarkedets Erhvervssikring
- Tryg Forsikring A/S
- Udlændingestyrelsen
Utifrån inspektionerna konstaterade Datatilsynet att företag och myndigheter i fortsättningen måste vara mer uppmärksamma på att underrättelserna i samtliga fall innehåller all nödvändig information. I ett fall kritiserade Datatilsynet dessutom ett företag för att det inte kunde visa att medborgarna hade underrättats i enlighet med reglerna i dataskyddslagstiftningen.
Som huvudregel ska en personuppgiftsansvarig underrätta en enskild om en personuppgiftsincident sannolikt kommer att medföra en hög risk för den enskildes rättigheter och friheter. Ett grundläggande syfte med underrättelsen är bland annat att göra det möjligt för medborgaren att vidta nödvändiga försiktighetsåtgärder för att minimera den risk som personuppgiftsincidenten kan innebära för medborgaren.
Därför måste underrättelser åtminstone innehålla en rad uppgifter som gör det möjligt för medborgaren att vidta lämpliga åtgärder, till exempel en beskrivning av överträdelsens art på ett klart och begripligt språk, en beskrivning av de sannolika konsekvenserna av överträdelsen, eventuella relevanta rekommendationer för att minimera överträdelsens eventuella negativa effekter och en beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller kommer att vidta för att åtgärda överträdelsen. Omständigheterna kring den specifika överträdelsen kommer att påverka vilken information som är lämpligast att lämna till medborgaren, men det är viktigt att informationen är tillräckligt detaljerad för att medborgaren ska kunna utöva sina rättigheter.
En personuppgiftsansvarig måste också kunna visa att en anmälan har uppfyllt kraven i dataskyddslagstiftningen, inklusive principen om att anmälan ska göras skriftligen.
Hanteringen av inspektionerna föranledde Datatilsynet att ta fram en vägledande text om de dataskyddsrättsliga kraven på anmälan, som skickades till företag och myndigheter.