Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet har offentliggjort planlagte tilsyn for sidste halvdel af 2019

NJORD Lawfirm
29/07/2019
410
Datatilsynet har offentliggjort planlagte tilsyn for sidste halvdel af 2019
NJORD Lawfirm logo

Datatilsynet har nu offentliggjort, hvilke databeskyttelsesretlige områder de vil fokusere på i forbindelse med de planlagte tilsyn i andet halvår af 2019. Datatilsynet vil fokusere på fire overordnede områder; databehandlere, den daglige overvågning af registrerede, databeskyttelse i forbindelse med ansættelsesforhold og automatiske afgørelser og profilering.




Datatilsynet som tilsynsmyndighed


En af Datatilsynets opgaver er at føre tilsyn med, at dataansvarlige og databehandlere overholder databeskyttelsesreglerne. Dette gør Datatilsynet gennem to typer af tilsyn, de planlagte og ad hoc-tilsyn. Ad hoc-tilsynene iværksættes som følge af konkrete hændelser, som Datatilsynet enten selv er blevet opmærksom på, eller er blevet tippet om. Det kan eksempelvis være brud på persondatasikkerheden, klager over behandlingen af persondata hos en virksomhed eller myndighed mv.

I forbindelse med de planlagte tilsyn udarbejder Datatilsynet oversigter over tilsyn, hvor der tages stilling til, hvilke områder, typer af dataansvarlige eller databehandlere mv., der fokuseres på i den kommende periode. Der fokuseres typisk på behandling af persondata, hvor der kan være en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, og behandlinger, hvor der anvendes ny teknologi.


Tidligere tilsyn


I den første halvdel af 2019 var Datatilsynets fokus bl.a. på brud på persondatasikkerheden, herunder håndtering af brud, databeskyttelsesrådgiverfunktionen hos kommuner, kryptering af e-mails hos private virksomheder, den registreredes indsigtsret mv.

Foreløbigt har vi set nogle resultater af disse tilsyn, herunder har Datatilsynet tidligere på sommeren udtalt kritik hos en lang række kommuner og privathospitaler, fordi de ikke havde tilstrækkeligt styr på databeskyttelsesrådgiverfunktionen. I efteråret 2018 var udpegelse af databeskyttelsesrådgivere hos private virksomheder desuden en del af de planlagte tilsyn hos Datatilsynet. Alle private virksomheder, der blev ført tilsyn med på dette område, fik udtalt kritik.

Derudover har vi set flere bødeindstillinger og udtalelser af kritik som følge af manglende sletning hos virksomheder. Dette som følge af Datatilsynets fokus på sletning af personoplysninger hos private virksomheder i forbindelse med planlagte tilsyn i den anden halvdel af 2018.


Områder for tilsyn i 2019


De fire områder for planlagte tilsyn i anden halvdel af 2019 er databehandlere, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering.


Databehandlere


I forbindelse med anvendelsen af databehandlere har Datatilsynet valgt at fokusere på to underområder hos databehandleren selv, nemlig behandlingssikkerhed og brugen af underdatabehandlere.

Der skal indføres passende tekniske og organisatoriske foranstaltninger for beskyttelse af persondata, uanset om der er tale om en dataansvarlig eller en databehandler. Tilsynet vil derfor foregå hos et antal leverandører til både den offentlige og den private sektor.

Derudover skal databehandlere, når de selv anvender databehandlere – såkaldte underdatabehandlere – sørge for at pålægge underdatabehandlerne de samme databeskyttelseskrav som dem, der fremgår af databehandleraftalen, der er indgået mellem den dataansvarlige og databehandleren. Det er som udgangspunkt databehandleren, der er ansvarlig for, at der indgås en databehandleraftale mellem databehandleren og underdatabehandleren – en underdatabehandleraftale.

For at anvende underdatabehandlere skal databehandleren have en specifik eller generel skriftlig godkendelse fra den dataansvarlige, og i tilfælde af en generel skriftlig godkendelse skal eventuelt planlagte ændringer underrettes til den dataansvarlige, ligesom den dataansvarlige skal have mulighed for at gøre indsigelse mod ændringerne.

Det er typisk også databehandleren, der fører tilsyn med underdatabehandleren. Tilsynet kan være reguleret i databehandleraftalen mellem den dataansvarlige og databehandleren. Som databehandler er det desuden vigtigt at være opmærksom på, at hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig for over for den dataansvarlige for opfyldelse af underdatabehandlerens forpligtelser.


Den daglige overvågning


Datatilsynet har valgt at have fokus på kontrolforanstaltninger i forhold til medarbejdere, kunders købshistorik, kunders rejsehistorik og automatisk nummerpladegenkendelse i indkøbscentre.

I forhold til medarbejderne vil Datatilsynet undersøge, om arbejdsgiver har løftet sin oplysningspligt over for medarbejderne tilstrækkeligt. Det er således vigtigt at være opmærksom på, at oplysningspligten for eksempelvis en virksomhed eller myndighed ikke kun gælder udadtil i forhold til borgere, kunder mv., men også intern i forhold til egne medarbejdere.

I forbindelse med kunders købshistorik og rejsehistorik vil Datatilsynet kontrollere, om virksomheder opfylder deres oplysningspligt over for kunderne, og hvor længe oplysningerne opbevares. Udover oplysningspligt og opbevaringsperiode vil også behandlingshjemlen blive undersøgt nærmere i forbindelse med nummerpladegenkendelse i indkøbscentre.

Det er vigtigt altid at huske oplysningspligten, idet der sjældent kan gøres brug af en undtagelse herfor, ligesom sletning fortsat vil være en prioritet for Datatilsynet at kontrollere. Det er vigtigt, at man som dataansvarlig har fastsat et tidspunkt for sletningen af oplysninger, når de ikke længere er nødvendige, og at man følger disse slettefrister, ligesom man skal følge op på og kunne dokumentere, at der er sket sletning.


Databeskyttelse i forbindelse med ansættelsesforhold


Herunder hører også kontrollen af oplysningspligten over for medarbejdere. Det skal erindres, at man som dataansvarlig også har en oplysningspligt i forbindelse med rekruttering af nye medarbejdere.

I forbindelse med rekrutteringen vil Datatilsynet desuden fokusere på sletning af oplysninger – altså eksempelvis CV, ansøgninger, noter fra samtaler mv.

Ved kontrol af databeskyttelse i forbindelse med ansættelsesforhold vil Datatilsynet både føre tilsyn på det kommunale område, hos staten, i den private sektor og en velgørende organisation.


Afslutningsvis


Henset til udviklingen på tilsynsområdet, og hvad tidligere tilsyn har medført, er der en god grund til – hvis I stadig ikke er helt i mål med jeres GDPR-compliance – at fokusere på de områder, som Datatilsynet har udtaget til tilsyn i anden halvdel af 2019, samt at samle op på de områder, der hidtil har været genstand for de planlagte tilsyn, eftersom disse formentlig fortsat vil være i Datatilsynets kikkert, både i forbindelse med de planlagte tilsyn og ad hoc-tilsyn.

 

 



 
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
NJORD Lawfirm logo
København
Pilestræde 58
1112 København K
33 12 45 22
33 93 60 23
copenhagen@njordlaw.com
Aarhus
Åboulevarden 17
8000 Aarhus C
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 31.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Internationale overførsler - Nye Standard Contractual Clauses i høring
Internationale overførsler - Nye Standard Contractual Clauses i høring
17/11/2020
Persondata
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
13/11/2020
Persondata
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
11/11/2020
Persondata
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
04/11/2020
Persondata, Ansættelses- og arbejdsret
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
30/10/2020
Persondata, Ansættelses- og arbejdsret
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
29/09/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted