Er du klar til besøg fra Datatilsynet i 2021?

Når Datatilsynet i 2021 fører tilsyn af egen drift, vil de have særligt fokus på følgende aktiviteter:

• Kreditoplysningsbureauer, advarselsregistre og spærrelister
• Inkassobureauers oplysningspligt og sletning
• Pengeinstitutters procedure for indsigtsanmodninger
• Tv-overvågning
• Myndigheders videregivelse af personnumre til borgere
• Forskning
• Behandling af personoplysninger om hjemmesidebesøgende (cookies)
• Persondatasikkerhed, inkl. brud på persondatasikkerheden
• Kontrol med databehandlere
• Overførsel af personoplysninger til tredjelande
• Behandling af personoplysninger i fælleseuropæiske informationssystemer
• PNR-loven
• Retshåndhævelsesloven

Bech-Bruuns kommentarer

Det er interessant, at Datatilsynet har valgt at fokusere på en række områder, der i 2020 har været meget omtalt i medierne eller som blev underlagt lovændringer, nye afgørelser eller vejledninger fra databeskyttelsesmyndigheder og domstole. Derudover er flere af områderne kendetegnet ved at være genstand for debat om, hvordan reglerne skal fortolkes i praksis. Vi knytter i det følgende nogle korte bemærkninger til de fokusområder, som vi skønner er særligt relevante for en lang række organisationer:

 Tv-overvågning

Valget af ”Tv-overvågning” som fokusområde skal ses i sammenhæng med, at tv-overvågningsloven blev ændret den 1. juli 2020. Dette fremgår direkte af Datatilsynets nyhed om tilsynsplanen for 2021. Ændringerne i tv-overvågningsloven udvider adgangen til at tv-overvåge offentligt tilgængelige områder, men kræver også, at både private og offentlige myndigheder foretager de korrekte juridiske vurderinger i forbindelse med tv-overvågningen. Du kan læse mere om lovændringen i Bech-Bruuns tidligere nyhed.

Det er ikke kun det danske Datatilsyn, der har fokus på behandlingen af personoplysninger via tv-overvågning. Et af de tyske Datatilsyn har netop udstedt en bøde på 10,4 mio. euro for ulovlig tv-overvågning af medarbejdere i en periode på minimum 2 år.

Kontrol med databehandlere

Datatilsynet har valgt fortsat at fokusere på kontrol af databehandlere i 2021. Forpligtelsen til at foretage kontrol (audit) indebærer, at den dataansvarlige skal kontrollere, om databehandleren overholder den dataansvarliges instrukser for behandlingen. Det fortsatte fokus fra Datatilsynet skal bl.a. ses som følge af, at Rigsrevisionen i 2019 konkluderede, at mange myndigheder fortsat ikke har tilstrækkeligt styr på kontrol af databehandlere.

Med Bech-Bruun DPA Service (Data Processor Audit) har både offentlige myndigheder og virksomheder netop mulighed for at få foretaget kontrol af deres databehandlere via en digital løsning. DPA Service er specialudviklet til effektivt at udføre og dokumentere kontrol af databehandlere.

Download informationsark om DPA Service

Overførsel af personoplysninger til tredjelande

Med den såkaldte Schrems II-afgørelse i 2020 slog EU-Domstolen bl.a. fast, at man som eksportør af personoplysninger, er forpligtet til at sikre et tilsvarende beskyttelsesniveau i tredjelandet. Dette indebærer bl.a., at brug af Kommissionens Standard Contractual Clauses (”SCC”) ikke kan stå alene og skal suppleres med yderligere foranstaltninger. Samtidig erklærede EU-Domstolen ”EU/US Privacy Shield-ordningen” for ugyldig som overførselsgrundlag. Datatilsynets valg af ”overførsel af personoplysninger til tredjelande” som et tilsynsemne for 2021, skal altså ses i sammenhæng med de nye skelsættende ændringer. Du kan læse mere om Schrems II-afgørelsens betydning og det længe ventede udkast til nye SCC’er i vores to tidligere nyheder.

Behandling af personoplysninger om hjemmesidebesøgende via cookies

Med den såkaldte DMI-afgørelse i starten af 2020 slog Datatilsynet fast, at indsamling af data via cookies ofte vil udgøre behandling af personoplysninger. Du kan læse mere om afgørelsen i vores tidligere nyhed. Det indebærer, at organisationer, der behandler personoplysninger via cookies både skal overholde databeskyttelsesreglerne og reglerne i cookiebekendtgørelsen. Organisationer skal således implementere en compliant (lovlig) cookieløsning, der både teknisk og juridisk lever op til begge regelsæt. Dette er en svær øvelse og mange organisationer har stadig ikke formået at implementere en fuldt ud compliant løsning for cookies. Det er på denne baggrund, at Datatilsynet har valgt at føre tilsyn med organisationers behandling af personoplysninger via cookies. Det er samtidig interessant, at Erhvervsstyrelsen for første gang også er påbegyndt tilsyn med de sideløbende regler i cookiebekendtgørelsen.

Bech-Bruun bistår både før, under og efter eventuelle tilsyn

I Bech-Bruun har vi indgående erfaring med at klæde virksomheder og myndigheder på til tilsynsbesøg fra Datatilsynet.

Bech-Bruun har været involveret i en lang række tilsynssager fra Datatilsynet, og Bech-Bruuns eksperter har også udført en række testtilsyn - de såkaldte Data Protection Mock Audits - hos organisationer.

Med et Data Protection Mock Audit underkaster jeres organisation sig et frivilligt tilsyn fra Bech-Bruun for at teste, om organisationen er klar til et tilsyn fra Datatilsynet. Data Protection Mock Audit foretages efter den samme fremgangsmåde som Datatilsynet ville anvende ved et rigtigt tilsyn. Inden Bech-Bruun kommer på tilsyn, udvælger jeres organisation i samarbejde med Bech-Bruuns team de emner, som tilsynsbesøget skal fokusere på. Det kunne for eksempel være én eller flere af de emner, som Datatilsynet har udvalgt som særlige fokusområder i 2021.

Data Protection Mock Audit afsluttes med en rapport, hvor Bech-Bruun vurderer jeres organisations håndtering af testtilsynet (både før, under og efter) samt en vurdering af jeres overholdelse af databeskyttelsesreglerne i relation til de udvalgte emner.

Du er altid velkommen til at tage fat i Bech-Bruuns databeskyttelsesretsteam.