Er du klar til besøg af Datatilsynet?

Det danske datatilsyn har offentliggjort deres tilsynsplan for det andet halvår af 2019. Kommer Datatilsynet på besøg hos jer?

I de tilsyn, som Datatilsynet har planlagt i andet halvår af 2019, er der fokus på fire overordnede temaer:

• Databehandlere


• Den daglige overvågning


• Databeskyttelse i forbindelse med ansættelsesforhold


• Automatiske afgørelser og profilering.

I Datatilsynets nyhed er det nærmere beskrevet, hvordan Datatilsynet for hvert tema har valgt at fokusere på en række underemner. Det er også beskrevet, på hvilke områder Datatilsynet vil foretage disse tilsyn:

I forhold til databehandlere har Datatilsynet besluttet at føre tilsyn med et antal leverandører til både den offentlige og den private sektor.

I forhold til den daglige overvågning omfatter de udvalgte områder: Kontrol på arbejdspladsen, forbrugsmønstre, brug af offentlig transport og brug af privat transport (parkering).

I forhold til databeskyttelse i forbindelse med ansættelsesforhold vil Datatilsynet foretage tilsyn på følgende områder: Det kommunale område, staten, den private sektor og en velgørende organisation.

I forhold til automatiske afgørelser og profilering har Datatilsynet besluttet at føre tilsyn med denne form for behandling af personoplysninger hos et forsikringsselskab og hos en bank.


Bech-Bruuns kommentarer

Vi ser med denne plan Datatilsynet tage fat på en række områder, hvor der ofte er høj risiko i forhold til personers ret til databeskyttelse og privatliv. Flere af områderne er desuden kendetegnet ved, at der gælder relativt komplekse krav, og at den offentliggjorte praksis fra Datatilsynet evt. ikke dækker alle de tvivlsspørgsmål, som myndighederne og virksomhederne har.


Bech-Bruun bistår både før og under eventuelle tilsyn

Bech-Bruun er klar til at yde bistand til virksomheder og myndigheder i forbindelse med Datatilsynets tilsyn.

Vi kan også hjælpe, hvis du ønsker at forberede dig på Datatilsynets eventuelle besøg. Bech-Bruuns eksperter i persondataret har bl.a. udført en række test-tilsyn, hvor virksomheder frivilligt underkaster sig et tilsyn fra Bech-Bruun, der foregår på samme måde, som et rigtigt tilsyn fra Datatilsynet.

Du er velkommen til at kontakte os, hvis du er interesseret i at få foretaget et test-tilsyn eller ønsker øvrig bistand.


Tilsyn direkte med databehandlere er en nyskabelse

Med databeskyttelsesforordningen er der blevet stillet nye krav til databehandlerne. Det er derfor også naturligt, at Datatilsynet nu ser på databehandlernes opfyldelse af deres forpligtelser.

Det er en nyskabelse – men naturligt – at tilsynene nu rettes direkte mod databehandlerne. Tidligere har Datatilsynets planlagte tilsyn været rettet mod de dataansvarlige myndigheder og virksomheder.

Ligesom de dataansvarlige i praksis har en stor opgave med at håndtere deres databehandlere, vil dette typisk også være en stor opgave for databehandlerne i forhold til deres databehandlere – dvs. den dataansvarliges underdatabehandlere.

En databehandler skal – hvis virksomheden gør brug af underdatabehandlere – sørge for at pålægge underdatabehandlerne de samme databeskyttelseskrav som dem, der fremgår af databehandleraftalen mellem den dataansvarlige og databehandleren. Det er således i udgangspunktet databehandleren, der sikrer indgåelsen af en underdatabehandleraftale.

Databehandleren må desuden ikke gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige og skal i tilfælde af en generel godkendelse underrette den dataansvarlige om eventuelle planlagte ændringer og give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

Endelig vil det typisk være databehandleren, som fører tilsyn med underdatabehandlerne.

Som det fremgår, er opgaverne på dette område relativt velbeskrevne. Udfordringen er formentlig at få dem løftet i praksis.

Når det kommer til tilsynet med underdatabehandlerne, kan virksomheden fx benytte sig af nogle af de værktøjer, som tilsvarende bruges af de dataansvarlige ved kontrol af de primære databehandlere. Det niveau af compliance, som databehandleren skal sikre sig, er opfyldt hos underdatabehandleren, er ikke lavere, end hvad den dataansvarlige kræver af den primære databehandler.

Med Bech-Bruun DPA Service (Data Processor Audit) har virksomheder mulighed for at få foretaget kontrol af deres databehandlere via en digital løsning. DPA Service er specialudviklet til effektivt at udføre og dokumentere kontrol af databehandlere.

Download informationsark om DPA Service

Du er velkommen til at kontakte os, hvis du er interesseret i at høre mere om DPA Service, få foretaget et test-tilsyn eller ønsker anden bistand som led i, at du forbereder dig på et eventuelt tilsyn fra Datatilsynet.

Du kan se læse Datatilsynets nyhed om de planlagte tilsyn her.