Senere ændringer til forskriften
Lovgivning forskriften vedrører
Links til EU direktiver, jf. note 1
32002L0058
 
32009L0136
 
Den fulde tekst

Bekendtgørelse om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester1)

I medfør af § 8, stk. 1 og 4, § 80 og § 81, stk. 2, i lov om elektroniske kommunikationsnet og -tjenester, jf. lovbekendtgørelse nr. 128 af 7. februar 2014, som ændret ved lov nr. 1567 af 15. december 2015, fastsættes:

Anvendelsesområde

§ 1. Bekendtgørelsen finder anvendelse på styring af risici for persondatasikkerhed og underretning om brud på persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

Definitioner

§ 2. I denne bekendtgørelse forstås ved:

1) Brud på persondatasikkerheden: Sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af en offentlig elektronisk kommunikationstjeneste.

Risikostyring

§ 3. Udbydere af offentlige elektroniske kommunikationstjenester skal løbende træffe passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for persondatasikkerheden i forbindelse med udbud af elektroniske kommunikationstjenester. Udbyderne skal gennem disse foranstaltninger sikre et sikkerhedsniveau, der, under hensyn til teknologiens aktuelle stade og omkostningerne i forbindelse med gennemførelsen af foranstaltningerne, står i forhold til risici.

Stk. 2. De foranstaltninger, der er nævnt i stk. 1, skal som minimum

1) sikre, at kun autoriserede personer får adgang til persondata til lovlige formål,

2) beskytte lagrede eller sendte persondata mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse, og

3) gennemføre en sikkerhedspolitik for persondatasikkerheden i forbindelse med udbud af elektroniske kommunikationstjenester.

Særlig risiko for brud på persondatasikkerheden

§ 4. Udbydere af offentlige elektroniske kommunikationstjenester skal informere deres slutbrugere, hvis der er særlig risiko for brud på persondatasikkerheden. Hvis risikoen ligger uden for de foranstaltninger, der skal træffes af udbyderen efter denne bekendtgørelse, skal udbyderen tillige informere slutbrugerne om, hvordan hændelsen i givet fald kan forebygges. Udbyderen skal herunder angive de omkostninger, der sandsynligvis vil være forbundet hermed.

Underretning om brud

§ 5. Underretning om brud på persondatasikkerheden efter artikel 2 i Kommissionens forordning (EU) nr. 611/2013 af 24. juni 2013 om de foranstaltninger, der skal anvendes ved underretningen om brud på persondatasikkerheden, skal ske til Erhvervsstyrelsen.

Stk. 2. Uden at det berører en udbyder af offentlige elektroniske kommunikationstjenesters pligt til underretning efter den i stk. 1 nævnte forordning, kan Erhvervsstyrelsen, i tilfælde hvor underretning ikke allerede er sket og efter at have vurderet bruddets sandsynlige negative virkninger, kræve, at udbyderen underretter slutbrugeren eller evt. berørte fysiske personer om sikkerhedsbruddet.

Optegnelser over brud på persondatasikkerheden

§ 6. Udbydere af offentlige elektroniske kommunikationstjenester skal føre optegnelser over brud på persondatasikkerheden. Optegnelserne skal indeholde oplysninger om omstændighederne vedrørende bruddene, deres virkninger og de afhjælpende foranstaltninger, der er truffet. Optegnelserne skal være tilstrækkeligt detaljerede til, at Erhvervsstyrelsen kan føre kontrol med overholdelsen af Kommissionens forordning (EU) nr. 611/2013 af 24. juni 2013, jf. § 8. Optegnelserne skal kun indeholde de oplysninger, der er nødvendige til dette formål.

Tilsyn med foranstaltninger til styring af risici af persondatasikkerheden

§ 7. Erhvervsstyrelsen fører tilsyn med de foranstaltninger, som udbydere af offentlige elektroniske kommunikationstjenester skal træffe efter § 3.

Stk. 2. Erhvervsstyrelsen kan i forbindelse med tilsyn efter stk. 1 påbyde udbydere af offentlige elektroniske kommunikationstjenester at gennemføre de tiltag, som, Erhvervsstyrelsen vurderer, er nødvendige for at sikre, at kravene i § 3 er overholdt.

Tilsyn med Kommissionens forordning om foranstaltninger til underretning om brud på persondatasikkerheden

§ 8. Erhvervsstyrelsen fører tilsyn med og træffer afgørelser om udbydere af offentlige elektroniske kommunikationstjenesters overholdelse af bestemmelser i Kommissionens forordning (EU) nr. 611/2013 af 24. juni 2013 om de foranstaltninger, der skal anvendes ved underretningen om brud på persondatasikkerheden.

Stk. 2. I forbindelse med afgørelser efter stk. 1 kan Erhvervsstyrelsen meddele påbud om overholdelse af bestemmelser i den i stk. 1 nævnte forordning.

Stk. 3. Erhvervsstyrelsen kan pålægge udbydere af offentlige elektroniske kommunikationstjenester, som et påbud retter sig imod, tvangsbøder med henblik på at gennemtvinge, at påbuddet efterkommes, hvis parten ikke efterkommer påbuddet.

§ 9. Klager over Erhvervsstyrelsens afgørelser i henhold til § 8, stk. 1, kan indbringes for Teleklagenævnet i overensstemmelse med § 76, stk. 1, i lov om elektroniske kommunikationsnet og -tjenester og bekendtgørelse om Teleklagenævnets virksomhed.

Straffebestemmelser

§ 10. Med bøde straffes den, der overtræder §§ 3, 4 og 6 eller undlader at efterkomme påbud givet efter § 5, stk. 2, og § 8, stk. 2.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Ikrafttræden

§ 11. Bekendtgørelsen træder i kraft den 1. juli 2016.

Stk. 2. Følgende bekendtgørelser ophæves:

1) Bekendtgørelse nr. 396 af 21. april 2011 om rammerne for informationssikkerhed og beredskab.

2) Bekendtgørelse nr. 445 af 11. maj 2011 om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester.

Erhvervs- og Vækstministeriet, den 23. maj 2016

Troels Lund Poulsen

/ Katrine Winding

Officielle noter

1) Bekendtgørelsen indeholder regler, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, EF-Tidende 2002, nr. L 201, side 37, og Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, EF-Tidende 2009, nr. L 337, side 11.