Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Er du klar til besøg fra Datatilsynet i 2022?

Bech Bruun
03/02/2022
Er du klar til besøg fra Datatilsynet i 2022?
Bech Bruun logo
Datatilsynet har netop offentliggjort tilsynsplanen for 2022, der både indeholder nye områder, fx iagttagelse af oplysningspligt ved uanmodet henvendelse og forsyningsselskabers håndtering af anmodninger om indsigt og sletning, men også gengangere, såsom behandling af personoplysninger om hjemmesidebesøgende og kontrol med databehandlere.

Når Datatilsynet i 2022 fører tilsyn af egen drift, vil der være fokus på følgende aktiviteter:


  • Arkivloven
  • Tilladelser til at behandle følsomme personoplysninger i den private sektor
  • Iagttagelse af oplysningspligt ved uanmodet henvendelse
  • Forsyningsselskabers håndtering af anmodninger om indsigt og sletning
  • Behandling af personoplysninger om hjemmesidebesøgende
  • Persondatasikkerhed, inklusive brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Tv-overvågning
  • Behandling af personoplysninger i fælleseuropæiske informationssystemet
  • Retshåndhævelsesloven.

Bech-Bruuns kommentarer

Tilsynsplanen  indeholder således både nye fokusområder, men også gengangere fra tidligere år, der giver indblik i Datatilsynets strategi og fokus i det overordnede formål om en mere datadreven og ressourceoptimerende tilgang fra Datatilsynet. Bech-Bruun har følgende kommentarer til de enkelte områder:


Arkivloven

Som en gren af det store anvendelsesområde for arkivloven skriver Datatilsynet eksplicit, at ”der skal føres tilsyn med en række kommuners håndtering af arkivalier, herunder kommunernes overholdelse af de særlige regler om adgang til arkivalier inden tilgængelighedsfristernes udløb”. Ligeledes ligger emnet tæt op af de almindelige databeskyttelsesretlige emner om opbevaring og sletning, hvorfor der også må forventes at være naturligt afledte spørgsmål af fokusområdet.


Tilladelser til at behandle følsomme personoplysninger i den private sektor

I overensstemmelse med normal praksis fører Datatilsynet løbende tilsyn med områder og organisationer, der behandler personoplysninger på baggrund af en tilladelse fra Datatilsynet. Området er begrænset til meget få organisationer, men vil altså vedrøre de pågældende organisationers overholdelse af vilkårene i tilladelsen til behandling af følsomme oplysninger i regi heraf.


Iagttagelse af oplysningspligt ved uanmodet henvendelse

Den registreredes ret til at modtage en række oplysninger om den dataansvarliges behandling af personoplysninger (jf. GDPR art. 13 og 14) er en genganger fra tidligere tilsynsplaner. I 2022 fokuserer Datatilsynet dog på, hvordan den dataansvarlige sikrer dette, når tilsynet henvender sig uanmodet til registrerede. Som dataansvarlig må man derfor forvente at skulle fremlægge en privatlivspolitik herfor. Som organisation kan man derfor med rette sikre sig, at privatlivspolitikken overholder kravene som fastsat i Datatilsynets  vejledning, samt gennemgå samtykketekster, hvis dette er retsgrundlaget for behandlingen.


Forsyningsselskabers håndtering af anmodninger om indsigt og sletning

Ifølge Datatilsynet er dette  valgt grundet forsyningsselskabernes jævnlige modtagelse af sådanne anmodninger. Forsyningsselskaber bør derfor sikre sig, at man organisatorisk er i stand til at vurdere, og, hvis nødvendigt, imødekomme sådanne anmodninger. Man må således forvente at skulle fremvise relevant skriftlig dokumentation for sådanne arbejdsgange. Både Datatilsynets  og EDPBs  vejledninger beskriver mere om kravene til indsigt og sletning.


Behandling af personoplysninger om hjemmesidebesøgende

Igen i år har Datatilsynets fokus på behandlingen af personoplysninger på hjemmesider, hvilket udspringer af de nye krav og tilsynssager, som tilsynet behandlede på dette område i 2021. I DMI-afgørelsen fra starten af 2020 slog Datatilsynet fast, at indsamling af data via cookies ofte vil udgøre en behandling af personoplysninger. Du kan læse mere om afgørelsen i vores tidligere nyhed.


Senest har Datatilsynet offentliggjort en afgørelse om en kommunes behandling af personoplysninger til statistiske formål, som har belyst mulighederne for anvendelse af henholdsvis offentlig interesse (GDPR art. 6, stk. 1, litra e) eller legitim interesse (GDPR art. 6, stk. 1, litra f) som retsgrundlag. Overordnet indebærer kravene dog, at organisationer, der behandler personoplysninger via cookies, både skal overholde databeskyttelsesreglerne og reglerne i cookiebekendtgørelsen. Organisationer skal således implementere en compliant (lovlig) cookieløsning, der både teknisk og juridisk lever op til begge regelsæt. Dette er en svær øvelse, og mange organisationer har stadig ikke formået at implementere en fuldt ud compliant løsning for cookies. Det er på denne baggrund, at Datatilsynet har valgt at føre tilsyn med organisationers behandling af personoplysninger via cookies. Det er samtidig interessant, at Erhvervsstyrelsen for første gang også er påbegyndt tilsyn med de sideløbende regler i cookiebekendtgørelsen.


Persondatasikkerhed, inklusive brud på persondatasikkerheden

Sikkerhed og sikkerhedsbrud er ligeledes gengangere, men Datatilsynet har for 2022 specificeret dette til at vedrøre følgende områder:


  • fællesoffentlige it-løsninger,
  • fællesstatslige it-løsninger,
  • om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom,
  • om der i de tilfælde, hvor der foreligger en høj risiko for de registrerede som følge af et brud på persondatasikkerheden, sker den fornødne underretning af de berørte registrerede og
  • om de dataansvarlige i forbindelse med it-løsninger designes, udvikles, indkøbes eller tilpasses, overholder reglerne om databeskyttelse gennem design og udarbejdelse af konsekvensanalyser.

Organisationer skal således i høj grad sikre sig, at organisationen har styr på den interne dokumentation ved udarbejdelse af relevante politikker, procedurer, retningslinjer, risikovurderinger og eventuelle konsekvensanalyser. Ligeledes må det forventes, at organisationerne vil blive bedt om at fremlægge relevant dokumentation om sikkerhedsbrud, fx logs, underretninger af registrerede, e-mailkorrespondance osv.


Kontrol med databehandlere

Datatilsynet har valgt igen at fokusere på kontrol af databehandlere. Forpligtelsen til at foretage kontrol (audit) indebærer, at den dataansvarlige skal kontrollere, om databehandleren overholder den dataansvarliges instrukser for behandlingen. Det fortsatte fokus fra Datatilsynet skal blandt andet ses som følge af, at Rigsrevisionen i 2019 konkluderede, at mange myndigheder fortsat ikke har tilstrækkeligt styr på kontrol af databehandlere, samt at Datatilsynet i oktober 2021 publicerede ”Vejledningen om tilsyn med databehandlere”, der officielt introducerer muligheden for at anvende en risikobaseret tilgang ved brug af en pointskala og seks tilsynskoncepter.


DPA Service (Data Processor Audit) er Bech-Bruuns bud på, hvordan både offentlige myndigheder og virksomheder har mulighed for at få foretaget kontrol af deres databehandlere via en digital løsning. DPA Service er specialudviklet til effektivt at føre og dokumentere kontrol af databehandlere.Du kan læse mere her.


Tv-overvågning

Som endnu en genganger skal valget af ”Tv-overvågning” igen ses i sammenhæng med, at tv-overvågningsloven blev ændret den 1. juli 2020. Ændringerne i tv-overvågningsloven udvider adgangen til at tv-overvåge offentligt tilgængelige områder, men kræver også, at både private og offentlige myndigheder foretager de korrekte juridiske vurderinger i forbindelse med tv-overvågningen. Du kan læse mere om lovændringen i Bech-Bruuns tidligere nyhed.


Det er ikke kun det danske Datatilsyn, der har fokus på behandlingen af personoplysninger via tv-overvågning. Et af de tyske Datatilsyn har tidligere udstedt en bøde på 10,4 millioner euro for ulovlig tv-overvågning af medarbejdere i en periode på minimum to år.


Behandling af personoplysninger i fælleseuropæiske informationssystemer

Dette vedrører et snævert antal myndigheder og omfatter blandt andet Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (Eurodac), Toldinformationssystemet (CIS) og Informationssystemet for det indre marked (IMI).


Retshåndhævelsesloven

Som et tilsynsemne, der alene gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, må Datatilsynets kontrol af retshåndhævelsesloven anses for at have et snævert scope, men omvendt være af bred offentlig interesse. Dette er tilfældet, da tilsynet kommer til at kigge på områder, som behandlingen af personoplysninger i relation til myndighedernes forebyggelse, efterforskning, afsløring eller retsforfølgelse af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner.


Bech-Bruun bistår både før, under og efter eventuelle tilsyn

Datatilsynets tilsynsplan er en oplagt mulighed for at besøge eller genbesøge organisationens databeskyttelsessetup. I Bech-Bruun har vi indgående erfaring med at klæde virksomheder og myndigheder på til tilsynsbesøg fra Datatilsynet.


Bech-Bruun har været involveret i en lang række tilsynssager fra Datatilsynet, og Bech-Bruuns eksperter har også udført en række testtilsyn - de såkaldte Data Protection Mock Audits - hos organisationer.


En måde at forberede din organisation på et eventuel tilsyn kunne derfor være ved et Data Protection Mock Audit, hvor I udsættes for et frivilligt tilsyn fra Bech-Bruun for at teste, om organisationen er klar til et tilsyn fra Datatilsynet. Data Protection Mock Audit foretages efter den samme fremgangsmåde, som Datatilsynet ville anvende ved et rigtigt tilsyn. Data Protection Mock Audit afsluttes med en rapport, hvor Bech-Bruun vurderer jeres organisations håndtering af testtilsynet (både før, under og efter) samt en vurdering af jeres overholdelse af databeskyttelsesreglerne i relation til de udvalgte emner.


Ligeledes kan Bech-Bruun bistå med gennemgang af din organisations skriftlige dokumentation eller generelle data flows for enten hele organisationen eller udvalgte områder af særlig relevans eller risiko.


Du er altid velkommen til at tage fat i Bech-Bruuns databeskyttelsesteam.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Bliv databeskyttelsesrådgiver (DPO) i Transportministeriets koncern. Vi har brug for dig!
Legal Counsel
Vi søger 4 kollegaer til juridisk afdeling i Sikkerhedsstyrelsen i Esbjerg
Jurist med interesse for databeskyttelsesret til Statens Serum Institut
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2022 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted