Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Er du klar til besøg fra Datatilsynet i 2024?

Bech-Bruun
18/01/2024
Er du klar til besøg fra Datatilsynet i 2024?
Bech-Bruun logo
Datatilsynet har netop offentliggjort fokusområderne for 2024, der indeholder emner såsom brug af kunstig intelligens, rettighedsstyring, overvågning af ansatte og retten til indsigt.

Når Datatilsynet i 2024 fører tilsyn af egen drift, har Datatilsynet fokus på følgende aktiviteter:


  • Brug af kunstig intelligens og automatisering
  • Overvågning af ansatte
  • Den registreredes ret til indsigt
  • Boligforeninger
  • Kommunale webarkiver
  • Privatskoler
  • Online- og fysiske køb
  • Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger 
  • Grundlæggende behandlingssikkerhed hos kommuner og regioner
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • Retshåndhævelsesloven
  • PNR-loven.


Bech-Bruuns kommentar

Tilsynsplanen indeholder generelt nye fokusområder, som Datatilsynet ikke har medtaget i tidligere tilsynsplaner. Bech-Bruun har følgende kommentarer til enkelte, udvalgte områder:


Brug af kunstig intelligens og automatisering

Det er interessant, at Datatilsynet sætter fokus på det yderst aktuelle emne, kunstig intelligens og automatisering (AI). Dette fik vi allerede en forsmag på, da Datatilsynet i 2023 offentliggjorde en vejledning for offentlige myndigheders brug af AI, der senere blev fulgt op af en konkret udtalelse i relation til København Kommunes brug af en AI-løsning. Datatilsynet vil dog i sit tilsyn i 2024 både fokusere på offentlige myndigheders og private virksomheders brug af AI, herunder særligt generative AI-løsninger inden for sundhedssektoren. Dette fremgår af Datatilsynets uddybende kommentarer til fokusområderne.


Overvågning af ansatte

Overvågning af ansatte udgør både ansættelses- og persondataretligt en meget indgribende foranstaltning, der bl.a. kræver udarbejdelse af forudgående risikovurderinger, implementering af overholdelse af oplysningspligter og sikring af et lovligt grundlag. De seneste år har vi set en lang række afgørelser fra andre databeskyttelsesmyndigheder inden for EU, der vedrører ulovlig behandling af personoplysninger til brug for overvågning af ansatte. Den mest alvorlige sag så vi i Tyskland, hvor en stor tøjproducent modtog en bøde på 35,33 mio. euro i henhold til GDPR for ulovligt at overvåge sine ansatte. Samtidig har Datatilsynet i marts 2023 opdateret sin vejledning vedrørende databeskyttelse i ansættelsesforhold herunder i forhold til kontrol af medarbejdere. Det er derfor ikke overraskende, at Datatilsynet nu vælger at sætte yderligere fokus på dette område.


Den registreredes ret til indsigt

Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerede  håndhævelsesramme (Coordinated Enforcement Framework (CEF)) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. I 2024 er retten til indsigt omfattet af denne rammeaftale, og indsigt er derfor med i Datatilsynets tilsynsplan. Samtidig er retten til indsigt i egne personoplysninger en af de vigtigste rettigheder i GDPR. Vi ser i et stigende omfang, at medarbejdere, borgere og kunder benytter sig af denne rettighed herunder også i forhold til logs og digitale fodspor via bl.a. cookies. Pligten til at imødekomme en anmodning om indsigt er samtidig underlagt en stram tidsfrist på 30 dage (som udgangspunkt), og det er derfor en væsentlig rettighed at have styr på – også hvis Datatilsynet kommer på besøg.


Boligforeninger

Datatilsynet vil fokusere på de professionelle ejendomsadministrationsselskaber, der bl.a. varetager administrationen af boligforeninger. Datatilsynet vil særligt fokusere på indsigt og sletning. Særlovgivningen er derfor væsentlig at inddrage for boligforeningerne i forhold til at fastsætte og retfærdiggøre slettefristerne.


Online- og fysiske køb

Fokusområdet virker umiddelbart meget bredt. Imidlertid angiver Datatilsynet i sine uddybende kommentarer, at man særligt vil fokusere på scan-og-betal-apps (scan and go), der kan anvendes i fysiske butikker og "autosave" af kunders personoplysninger som led i onlinekøb. Datatilsynet har tidligere indskærpet, at der gælder særlige regler for, hvornår virksomheder må gemme kunders personoplysninger til brug for fremtidige køb. Virksomheder bør derfor vurdere, om købsflowet online og fysisk (hvis personoplysninger indsamles elektronisk) overholder gældende krav i GDPR.


Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger

Datatilsynet skriver i sine uddybende kommentarer til dette fokusområde, at øget anvendelse af automatisering gennem RPA-teknologi kan øge risikoen for misbrug, hvis ikke der er styr på rettighedsstyringen. Datatilsynets valg af dette emne følger i naturlig forlængelse af det sikkerhedskatalog, som Datatilsynet offentliggjorde i slutningen af 2023. Sikkerhedskataloget indeholder særlige anbefalinger til de mitigerende foranstaltninger, som organisationer skal indføre i relation til rettighedsstyring og logs m.v. Datatilsynet forventer, at alle organisationer (både private og offentlige) kan fremlægge skriftlige risikovurderinger for sikring af den nødvendige rettighedsstyring i alle systemer, der indeholder personoplysninger. 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
09/09/2024
Persondata, Konkurrenceret
Ved du, hvornår du må behandle personoplysninger?
Ved du, hvornår du må behandle personoplysninger?
10/09/2024
Persondata
Datatilsynets årsberetning 2023
Datatilsynets årsberetning 2023
16/09/2024
Persondata
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
27/09/2024
Persondata
Borgere havde ret til indsigt i navn på utilsigtet modtager
Borgere havde ret til indsigt i navn på utilsigtet modtager
07/10/2024
Persondata
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
I går
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted