Datatilsynet har netop offentliggjort fokusområderne for 2024, der indeholder emner såsom brug af kunstig intelligens, rettighedsstyring, overvågning af ansatte og retten til indsigt.
Når Datatilsynet i 2024 fører tilsyn af egen drift, har Datatilsynet fokus på følgende aktiviteter:
- Brug af kunstig intelligens og automatisering
- Overvågning af ansatte
- Den registreredes ret til indsigt
- Boligforeninger
- Kommunale webarkiver
- Privatskoler
- Online- og fysiske køb
- Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger
- Grundlæggende behandlingssikkerhed hos kommuner og regioner
- Behandling af personoplysninger i fælleseuropæiske informationssystemer
- Retshåndhævelsesloven
- PNR-loven.
Bech-Bruuns kommentar
Tilsynsplanen indeholder generelt nye fokusområder, som Datatilsynet ikke har medtaget i tidligere tilsynsplaner. Bech-Bruun har følgende kommentarer til enkelte, udvalgte områder:
Brug af kunstig intelligens og automatisering
Det er interessant, at Datatilsynet sætter fokus på det yderst aktuelle emne, kunstig intelligens og automatisering (AI). Dette fik vi allerede en forsmag på, da Datatilsynet i 2023 offentliggjorde en vejledning for offentlige myndigheders brug af AI, der senere blev fulgt op af en konkret udtalelse i relation til København Kommunes brug af en AI-løsning. Datatilsynet vil dog i sit tilsyn i 2024 både fokusere på offentlige myndigheders og private virksomheders brug af AI, herunder særligt generative AI-løsninger inden for sundhedssektoren. Dette fremgår af Datatilsynets uddybende kommentarer til fokusområderne.
Overvågning af ansatte
Overvågning af ansatte udgør både ansættelses- og persondataretligt en meget indgribende foranstaltning, der bl.a. kræver udarbejdelse af forudgående risikovurderinger, implementering af overholdelse af oplysningspligter og sikring af et lovligt grundlag. De seneste år har vi set en lang række afgørelser fra andre databeskyttelsesmyndigheder inden for EU, der vedrører ulovlig behandling af personoplysninger til brug for overvågning af ansatte. Den mest alvorlige sag så vi i Tyskland, hvor en stor tøjproducent modtog en bøde på 35,33 mio. euro i henhold til GDPR for ulovligt at overvåge sine ansatte. Samtidig har Datatilsynet i marts 2023 opdateret sin vejledning vedrørende databeskyttelse i ansættelsesforhold herunder i forhold til kontrol af medarbejdere. Det er derfor ikke overraskende, at Datatilsynet nu vælger at sætte yderligere fokus på dette område.
Den registreredes ret til indsigt
Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerede håndhævelsesramme (Coordinated Enforcement Framework (CEF)) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. I 2024 er retten til indsigt omfattet af denne rammeaftale, og indsigt er derfor med i Datatilsynets tilsynsplan. Samtidig er retten til indsigt i egne personoplysninger en af de vigtigste rettigheder i GDPR. Vi ser i et stigende omfang, at medarbejdere, borgere og kunder benytter sig af denne rettighed herunder også i forhold til logs og digitale fodspor via bl.a. cookies. Pligten til at imødekomme en anmodning om indsigt er samtidig underlagt en stram tidsfrist på 30 dage (som udgangspunkt), og det er derfor en væsentlig rettighed at have styr på – også hvis Datatilsynet kommer på besøg.
Boligforeninger
Datatilsynet vil fokusere på de professionelle ejendomsadministrationsselskaber, der bl.a. varetager administrationen af boligforeninger. Datatilsynet vil særligt fokusere på indsigt og sletning. Særlovgivningen er derfor væsentlig at inddrage for boligforeningerne i forhold til at fastsætte og retfærdiggøre slettefristerne.
Online- og fysiske køb
Fokusområdet virker umiddelbart meget bredt. Imidlertid angiver Datatilsynet i sine uddybende kommentarer, at man særligt vil fokusere på scan-og-betal-apps (scan and go), der kan anvendes i fysiske butikker og "autosave" af kunders personoplysninger som led i onlinekøb. Datatilsynet har tidligere indskærpet, at der gælder særlige regler for, hvornår virksomheder må gemme kunders personoplysninger til brug for fremtidige køb. Virksomheder bør derfor vurdere, om købsflowet online og fysisk (hvis personoplysninger indsamles elektronisk) overholder gældende krav i GDPR.
Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger
Datatilsynet skriver i sine uddybende kommentarer til dette fokusområde, at øget anvendelse af automatisering gennem RPA-teknologi kan øge risikoen for misbrug, hvis ikke der er styr på rettighedsstyringen. Datatilsynets valg af dette emne følger i naturlig forlængelse af det sikkerhedskatalog, som Datatilsynet offentliggjorde i slutningen af 2023. Sikkerhedskataloget indeholder særlige anbefalinger til de mitigerende foranstaltninger, som organisationer skal indføre i relation til rettighedsstyring og logs m.v. Datatilsynet forventer, at alle organisationer (både private og offentlige) kan fremlægge skriftlige risikovurderinger for sikring af den nødvendige rettighedsstyring i alle systemer, der indeholder personoplysninger.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
-(2)-large.jpg)
-medium.jpg)
-medium.jpg)
-medium.jpg)
