Vær opmærksom på Datatilsynets fokusområder for 2024

Datatilsynet har i forbindelse med årsskiftet udarbejdet en ny tilsynsplan, der opridser, hvilke områder, Datatilsynet særligt fokuserer på, når de iværksætter tilsynsaktiviteter i 2024. Datatilsynet vil løbende påse og kontrollere, at virksomheder er ajourført med lovgivningen inden for den pågældende aktivitet.

Der er tale om følgende målrettede tilsynsaktiviteter i 2024:

• Brug af kunstig intelligens og automatisering
• Overvågning af ansatte
• Den registreredes ret til indsigt
• Boligforeninger
• Kommunale webarkiver
• Privatskoler
• Online og fysisk indkøb
• Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger  
• Grundlæggende behandlingssikkerhed hos kommuner og regioner
• Behandling af personoplysninger i fælleseuropæiske informationssystemer
• Retshåndhævelsesloven
• PNR-lov

Vi vil i det følgende fremhæve enkelte af Datatilsynets fokusområder, og knytte en kort kommentar hertil.

Brugen af kunstig intelligens og automatisering

Udviklingen af kunstig intelligens er vokset eksponentielt gennem de seneste år og forventes at få en grundlæggende betydning for måden, vi arbejder på. Samtidig er der opstået en øget risiko for de borgere, hvis oplysninger bliver behandlet som led i AI-løsninger. Det er derfor kun naturligt, at offentlige samt private organisationers brug af kunstig intelligens er et af Datatilsynets fokusområder for 2024.

Det blev på et møde i Det Europæiske Databeskyttelsesråd (EDPB) i juni 2023 besluttet, at der skulle udarbejdes en ny vejledning om kunstig intelligens (AI) og databeskyttelse, hvor det danske datatilsyn, sammen med en række andre medlemslande, var skribent på vejledningen. Vejledningen blev udgivet i oktober 2023, og Datatilsynet har siden udtalt sig i en konkret sag, hvor Københavns Kommune ønskede at få Datatilsynets vurdering om, hvorvidt kommunen havde hjemmel til udvikling, drift og gentræning af en AI-løsning, der kan identificere borgere med behov for vedligeholdende træning og rehabiliterende indsats.

Foruden tilsyn med virksomheders brug af kunstig intelligens, vil Datatilsynet også fokusere på brugen af automatiseringsløsninger, herunder de databeskyttelsesretlige problematikker, der kan opstå som følge heraf.

Online og fysisk indkøb

I onlinehandel er det, i sagens natur, nødvendigt at behandle personoplysninger om kunderne, for eksempel i forbindelse med levering af bestilte varer eller fremsendelse af relevante tilbud. I stigende grad er det da også blevet muligt at gemme sine betalingskortoplysninger, så det er nemmere at handle næste gang.

Tilsvarende er der i dag sket en udvikling i behandlingen af personoplysninger, når man handler i fysiske butikker. Her nævner Datatilsynet brugen af ”scan-og-betal apps” som et særligt fokusområde, hvor en række detailkæder har gjort det muligt for deres kunder at scanne varer undervejs og betale via appen, så man undgår den sædvanlige kassebetjening.

I 2024 vil Datatilsynet sikre, at behandlingen af personoplysninger som led i disse aktiviteter, sker inden for rammerne af databeskyttelseslovgivningen.

Grundlæggende behandlingssikkerhed hos kommuner og regioner

Med afsæt i den nye databeskyttelseslovgivning fra 2018 er det naturligt, at Datatilsynet løbende fører tilsyn med, at de grundlæggende regler for behandlingssikkerhed overholdes. Datatilsynet har siden 2020 gennemført en række modenhedstilsyn hos mange af landets kommuner og landets regioner, som har givet anledning til fysiske tilsynsbesøg, kritik- og påbudsafgørelser samt straffesager.

I 2024 vil Datatilsynet fortsat følge op på flere enkeltområder, hvor de, som følge af deres tilsyn og kontrol, har afdækket problemer med den grundlæggende behandlingssikkerhed - for eksempel områder som kryptering af bærbare datamedier, scanningsværktøjer og udarbejdelse af konsekvensanalyser. Det nye fokusområde for 2024 har da også givet anledning til flere sager.  Datatilsynet har for eksempel politianmeldt samt indstillet Odsherred Kommune til bøde (på mellem 100.000 kr. til 200.000 kr.), idet kommunen ikke havde krypteret kommunes bærbare computere. Datatilsynet har tillige politianmeldt og indstillet Netcompany til en bøde (på mindst 15 mio. kr.) for ikke at have udarbejdet en konsekvensanalyse i forbindelse med udviklingen af mit.dk.

Den registreredes ret til indsigt

Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerende håndhævelsesramme (Coordinated Enforcement Framework (CEF)) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og dermed både harmonisere og styrke håndhævelsen af databeskyttelseslovgivningen. Den første indsats blev iværksat i 2022 og omhandlede offentlige myndigheders brug af cloudservices, mens fokusområdet i 2023 var udpegningen af databeskyttelsesrådgivere og deres rolle. I 2024 deltager Datatilsynet i håndhævelsen og skal kontrollere, at de dataansvarliges behandling af anmodninger om indsigt hos den registrerede sker i overensstemmelse med lovgivningen.