Meldung von Datenschutzgesetz-Verstößen an Aufsichtsbehörde
Verstöße gegen das Datenschutzgesetz sind der ICO entweder telefonisch über eine spezielle Hotline oder online über dieses Meldungsformular für Datenschutzverletzungen mitzuteilen:
https://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/.
Ausnahmen zu Verstoß-Benachrichtigung an betroffene Personen
Anhang 11 des britischen DPAs listet die Ausnahmen zu der Verstoß-Benachrichtigung an die betroffenen Personen. Somit muss ein Datenschutzverstoß nicht gemeldet werden, wenn die Verarbeitung zu folgenden Zwecken durchgeführt wurde:
- Kriminalität (Verhütung und Aufdeckung von Straftaten; Festnahme und Verfolgung von Straftätern)
- Informationen, die gesetzlich oder im Zusammenhang mit Gerichtsverfahren offenzulegen sind
- Parlamentsprivileg
- Gerichtsverfahren
- Krone Ehrungen und Würden
- Bewaffnete Kräfte
- Wirtschaftliches Wohlergehen in Großbritannien
- Rechtliches Berufsprivileg
- Verhandlungen mit der betroffenen Person
- Vertrauliche Angaben des Controllers
- Prüfungsskripte und Noten
- Forschung und Statistik
- Archivierung im öffentlichen Interesse
Eine Pflicht zur Benachrichtigung über Verstöße besteht auch nicht, wenn der Verstoß einen relevanten Fehler im Sinne von Ziff. 231 des Investigatory Powers Act 2016 ist.
Im Vereinigten Königreich gilt die Verpflichtung, der betroffenen Person den Datenschutzverstoß mitzuteilen, nicht, wenn die Daten zu folgenden Zwecken verarbeitet werden (Anhang 2):
- Verbrechen und Besteuerung
- Kriminalprävention oder -aufdeckung
- Festnahme oder Verfolgung von Straftätern oder
- Festsetzung oder Erhebung einer Steuer oder Abgabe, soweit die Anwendung dieser Bestimmungen die oben genannten strafrechtlichen Angelegenheiten beeinträchtigen könnte
- Erfüllung gesetzlicher Funktionen
- Vermeidung einer Verletzung der Privilegien der beiden parlamentarischen Abgeordnetenhäusern
Einschränkungen der Pflicht zur Verstoß-Benachrichtigung der betroffenen Personen
Der Datenschutzverantwortliche kann die Verpflichtung, den Datenschutzverstoß mitzuteilen, einschränken, wenn es eine notwendige und verhältnismäßige Maßnahme (Klausel 68 (7) DPA) ist, um:
- zu vermeiden, behördliche oder rechtliche Untersuchungen, Ermittlungen oder Verfahren zu beeinflussen
- zu vermeiden, Vorbeugung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen zu schaden
- die nationale oder öffentliche Sicherheit zu schützen
- die Rechte und Freiheiten anderer zu schützen
