Er du klar til besøg fra Datatilsynet i 2022?

Når Datatilsynet i 2022 fører tilsyn af egen drift, vil der være fokus på følgende aktiviteter:

• Arkivloven
• Tilladelser til at behandle følsomme personoplysninger i den private sektor
• Iagttagelse af oplysningspligt ved uanmodet henvendelse
• Forsyningsselskabers håndtering af anmodninger om indsigt og sletning
• Behandling af personoplysninger om hjemmesidebesøgende
• Persondatasikkerhed, inklusive brud på persondatasikkerheden
• Kontrol med databehandlere
• Tv-overvågning
• Behandling af personoplysninger i fælleseuropæiske informationssystemet
• Retshåndhævelsesloven.

Bech-Bruuns kommentarer

Tilsynsplanen  indeholder således både nye fokusområder, men også gengangere fra tidligere år, der giver indblik i Datatilsynets strategi og fokus i det overordnede formål om en mere datadreven og ressourceoptimerende tilgang fra Datatilsynet. Bech-Bruun har følgende kommentarer til de enkelte områder:

Arkivloven

Som en gren af det store anvendelsesområde for arkivloven skriver Datatilsynet eksplicit, at ”der skal føres tilsyn med en række kommuners håndtering af arkivalier, herunder kommunernes overholdelse af de særlige regler om adgang til arkivalier inden tilgængelighedsfristernes udløb”. Ligeledes ligger emnet tæt op af de almindelige databeskyttelsesretlige emner om opbevaring og sletning, hvorfor der også må forventes at være naturligt afledte spørgsmål af fokusområdet.

Tilladelser til at behandle følsomme personoplysninger i den private sektor

I overensstemmelse med normal praksis fører Datatilsynet løbende tilsyn med områder og organisationer, der behandler personoplysninger på baggrund af en tilladelse fra Datatilsynet. Området er begrænset til meget få organisationer, men vil altså vedrøre de pågældende organisationers overholdelse af vilkårene i tilladelsen til behandling af følsomme oplysninger i regi heraf.

Iagttagelse af oplysningspligt ved uanmodet henvendelse

Den registreredes ret til at modtage en række oplysninger om den dataansvarliges behandling af personoplysninger (jf. GDPR art. 13 og 14) er en genganger fra tidligere tilsynsplaner. I 2022 fokuserer Datatilsynet dog på, hvordan den dataansvarlige sikrer dette, når tilsynet henvender sig uanmodet til registrerede. Som dataansvarlig må man derfor forvente at skulle fremlægge en privatlivspolitik herfor. Som organisation kan man derfor med rette sikre sig, at privatlivspolitikken overholder kravene som fastsat i Datatilsynets  vejledning, samt gennemgå samtykketekster, hvis dette er retsgrundlaget for behandlingen.

Forsyningsselskabers håndtering af anmodninger om indsigt og sletning

Ifølge Datatilsynet er dette  valgt grundet forsyningsselskabernes jævnlige modtagelse af sådanne anmodninger. Forsyningsselskaber bør derfor sikre sig, at man organisatorisk er i stand til at vurdere, og, hvis nødvendigt, imødekomme sådanne anmodninger. Man må således forvente at skulle fremvise relevant skriftlig dokumentation for sådanne arbejdsgange. Både Datatilsynets  og EDPBs  vejledninger beskriver mere om kravene til indsigt og sletning.

Behandling af personoplysninger om hjemmesidebesøgende

Igen i år har Datatilsynets fokus på behandlingen af personoplysninger på hjemmesider, hvilket udspringer af de nye krav og tilsynssager, som tilsynet behandlede på dette område i 2021. I DMI-afgørelsen fra starten af 2020 slog Datatilsynet fast, at indsamling af data via cookies ofte vil udgøre en behandling af personoplysninger. Du kan læse mere om afgørelsen i vores tidligere nyhed.

Senest har Datatilsynet offentliggjort en afgørelse om en kommunes behandling af personoplysninger til statistiske formål, som har belyst mulighederne for anvendelse af henholdsvis offentlig interesse (GDPR art. 6, stk. 1, litra e) eller legitim interesse (GDPR art. 6, stk. 1, litra f) som retsgrundlag. Overordnet indebærer kravene dog, at organisationer, der behandler personoplysninger via cookies, både skal overholde databeskyttelsesreglerne og reglerne i cookiebekendtgørelsen. Organisationer skal således implementere en compliant (lovlig) cookieløsning, der både teknisk og juridisk lever op til begge regelsæt. Dette er en svær øvelse, og mange organisationer har stadig ikke formået at implementere en fuldt ud compliant løsning for cookies. Det er på denne baggrund, at Datatilsynet har valgt at føre tilsyn med organisationers behandling af personoplysninger via cookies. Det er samtidig interessant, at Erhvervsstyrelsen for første gang også er påbegyndt tilsyn med de sideløbende regler i cookiebekendtgørelsen.

Persondatasikkerhed, inklusive brud på persondatasikkerheden

Sikkerhed og sikkerhedsbrud er ligeledes gengangere, men Datatilsynet har for 2022 specificeret dette til at vedrøre følgende områder:

• fællesoffentlige it-løsninger,
• fællesstatslige it-løsninger,
• om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom,
• om der i de tilfælde, hvor der foreligger en høj risiko for de registrerede som følge af et brud på persondatasikkerheden, sker den fornødne underretning af de berørte registrerede og
• om de dataansvarlige i forbindelse med it-løsninger designes, udvikles, indkøbes eller tilpasses, overholder reglerne om databeskyttelse gennem design og udarbejdelse af konsekvensanalyser.

Organisationer skal således i høj grad sikre sig, at organisationen har styr på den interne dokumentation ved udarbejdelse af relevante politikker, procedurer, retningslinjer, risikovurderinger og eventuelle konsekvensanalyser. Ligeledes må det forventes, at organisationerne vil blive bedt om at fremlægge relevant dokumentation om sikkerhedsbrud, fx logs, underretninger af registrerede, e-mailkorrespondance osv.

Kontrol med databehandlere

Datatilsynet har valgt igen at fokusere på kontrol af databehandlere. Forpligtelsen til at foretage kontrol (audit) indebærer, at den dataansvarlige skal kontrollere, om databehandleren overholder den dataansvarliges instrukser for behandlingen. Det fortsatte fokus fra Datatilsynet skal blandt andet ses som følge af, at Rigsrevisionen i 2019 konkluderede, at mange myndigheder fortsat ikke har tilstrækkeligt styr på kontrol af databehandlere, samt at Datatilsynet i oktober 2021 publicerede ”Vejledningen om tilsyn med databehandlere”, der officielt introducerer muligheden for at anvende en risikobaseret tilgang ved brug af en pointskala og seks tilsynskoncepter.

DPA Service (Data Processor Audit) er Bech-Bruuns bud på, hvordan både offentlige myndigheder og virksomheder har mulighed for at få foretaget kontrol af deres databehandlere via en digital løsning. DPA Service er specialudviklet til effektivt at føre og dokumentere kontrol af databehandlere.Du kan læse mere her.

Tv-overvågning

Som endnu en genganger skal valget af ”Tv-overvågning” igen ses i sammenhæng med, at tv-overvågningsloven blev ændret den 1. juli 2020. Ændringerne i tv-overvågningsloven udvider adgangen til at tv-overvåge offentligt tilgængelige områder, men kræver også, at både private og offentlige myndigheder foretager de korrekte juridiske vurderinger i forbindelse med tv-overvågningen. Du kan læse mere om lovændringen i Bech-Bruuns tidligere nyhed.

Det er ikke kun det danske Datatilsyn, der har fokus på behandlingen af personoplysninger via tv-overvågning. Et af de tyske Datatilsyn har tidligere udstedt en bøde på 10,4 millioner euro for ulovlig tv-overvågning af medarbejdere i en periode på minimum to år.

Behandling af personoplysninger i fælleseuropæiske informationssystemer

Dette vedrører et snævert antal myndigheder og omfatter blandt andet Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (Eurodac), Toldinformationssystemet (CIS) og Informationssystemet for det indre marked (IMI).

Retshåndhævelsesloven

Som et tilsynsemne, der alene gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, må Datatilsynets kontrol af retshåndhævelsesloven anses for at have et snævert scope, men omvendt være af bred offentlig interesse. Dette er tilfældet, da tilsynet kommer til at kigge på områder, som behandlingen af personoplysninger i relation til myndighedernes forebyggelse, efterforskning, afsløring eller retsforfølgelse af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner.

Bech-Bruun bistår både før, under og efter eventuelle tilsyn

Datatilsynets tilsynsplan er en oplagt mulighed for at besøge eller genbesøge organisationens databeskyttelsessetup. I Bech-Bruun har vi indgående erfaring med at klæde virksomheder og myndigheder på til tilsynsbesøg fra Datatilsynet.

Bech-Bruun har været involveret i en lang række tilsynssager fra Datatilsynet, og Bech-Bruuns eksperter har også udført en række testtilsyn - de såkaldte Data Protection Mock Audits - hos organisationer.

En måde at forberede din organisation på et eventuel tilsyn kunne derfor være ved et Data Protection Mock Audit, hvor I udsættes for et frivilligt tilsyn fra Bech-Bruun for at teste, om organisationen er klar til et tilsyn fra Datatilsynet. Data Protection Mock Audit foretages efter den samme fremgangsmåde, som Datatilsynet ville anvende ved et rigtigt tilsyn. Data Protection Mock Audit afsluttes med en rapport, hvor Bech-Bruun vurderer jeres organisations håndtering af testtilsynet (både før, under og efter) samt en vurdering af jeres overholdelse af databeskyttelsesreglerne i relation til de udvalgte emner.

Ligeledes kan Bech-Bruun bistå med gennemgang af din organisations skriftlige dokumentation eller generelle data flows for enten hele organisationen eller udvalgte områder af særlig relevans eller risiko.

Du er altid velkommen til at tage fat i Bech-Bruuns databeskyttelsesteam.