Håndtering af brud på persondatasikkerheden

Når dine personoplysninger er omfattet af et brud på persondatasikkerheden, hvor der f.eks. er sket en hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, behandler Aarhus Kommune personoplysningerne til følgende formål:

At kunne udsende et orienteringsbrev til dig med beskrivelse af bl.a. sikkerhedsbruddet, konsekvenserne for dig samt foranstaltninger for at afhjælpe bruddet.

Reglerne for vores behandling af personoplysningerne følger af nedenstående lovgivning, bekendtgørelser og vejledninger til disse:

•    Databeskyttelsesforordningens artikel 33, stk. 3, litra b), c) og d) – Anmeldelse af brud på person-datasikkerheden til tilsynsmyndigheden
•    Databeskyttelsesforordningens artikel 34 – Underretning om brud på persondatasikkerheden til den registrerede
•    Databeskyttelsesforordningens artikel 6, stk. 1, litra e – almindelige oplysninger
•    Databeskyttelseslovens § 11, stk. 1 – Behandling af personnummer

I forbindelse med orienteringen af dig, kan Aarhus Kommune alt efter bruddets karakter behandle følgende kategorier af personoplysninger:

Almindelige personoplysninger: Identifikationsoplysninger som f.eks. navn og adresse

Fortrolige oplysninger: Personnummer

Aarhus Kommune videregiver eller overlader personoplysningerne til følgende modtagere:

Aarhus Kommunes databehandlere (leverandører), der behandler personoplysninger sikkert på vegne af kommunen, på baggrund af en instruks i en lovpligtig databehandleraftale.

Hvis Aarhus Kommune efter en konkret vurdering videregiver oplysninger til en anden selvstændig dataansvarlig, har denne ansvaret for, at du får besked om, at der er indsamlet personoplysninger ved kommunen. En sådan videregivelse vil kun finde sted i overensstemmelse med lovgivningen, og vil altid kun omfatte nødvendige relevante data.

Aarhus Kommunes behandling af personoplysningerne sker hos databehandlere uden for EU og EØS. De lovmæssige grundlag for overførsler til disse databehandlere er, at der er indgået en EU standardkontrakt med databehandleren eller der forefindes andet gyldigt overførselsgrundlag. Du kan bede om en kopi af overførselsgrundlaget eller det vil blive gjort tilgængelige for dig ved henvendelse til Aarhus Kommunes databeskyttelsesrådgiver: Skriv sikker mail her

Dine personoplysninger omfattet af bruddet stammer fra et Aarhus Kommunes fagsystemer. Det vil fremgå af orienteringsskrivelsen konkret hvilke fagsystemer og hvilke af dine personoplysninger, der er omfattet.

Vi får i visse tilfælde også nødvendige personoplysninger fra andre offentlige myndigheder som fx oplysninger fra CPR-registret.

Aarhus Kommune opbevarer personoplysningerne så længe, det er nødvendigt og sagligt for at opfylde de faglige formål, der er angivet under afsnittet om formål. Derudover er kommunen pålagt at opbevare personoplysningerne, indtil overlevering til arkiv efter arkivlovens regler. Vi kan på nuværende tidspunkt ikke sige, hvor længe vi opbevarer personoplysningerne i forbindelse med behandlingen. Det afhænger af, hvornår vi konkret afleverer personoplysningerne til arkivmyndighederne.

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af personoplysningerne. 

Du har ret til at anmode om indsigt i oplysningerne vi har om dig. Du har også ret til at anmode om berigtigelse eller sletning af oplysninger, og du kan også bede om en begrænsning af behandlingen af oplysningerne. Du skal dog være opmærksom på, at kommunen typisk er forpligtet til at gemme de oplysninger vi har noteret om dig, indtil den ovennævnte slettefrist indtræder. Du har ret til at gøre indsigelse mod behandlingen.

Du kan i orienteringsbrevet se, hvem du skal kontakte, hvis du vil gøre brug af dine rettigheder eller har yderligere spørgsmål.

Datatilsynet har udgivet en vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.