Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet har offentliggjort planlagte tilsyn for sidste halvdel af 2019

NJORD Law Firm
29/07/2019
Datatilsynet har offentliggjort planlagte tilsyn for sidste halvdel af 2019
NJORD Law Firm logo

Datatilsynet har nu offentliggjort, hvilke databeskyttelsesretlige områder de vil fokusere på i forbindelse med de planlagte tilsyn i andet halvår af 2019. Datatilsynet vil fokusere på fire overordnede områder; databehandlere, den daglige overvågning af registrerede, databeskyttelse i forbindelse med ansættelsesforhold og automatiske afgørelser og profilering.




Datatilsynet som tilsynsmyndighed


En af Datatilsynets opgaver er at føre tilsyn med, at dataansvarlige og databehandlere overholder databeskyttelsesreglerne. Dette gør Datatilsynet gennem to typer af tilsyn, de planlagte og ad hoc-tilsyn. Ad hoc-tilsynene iværksættes som følge af konkrete hændelser, som Datatilsynet enten selv er blevet opmærksom på, eller er blevet tippet om. Det kan eksempelvis være brud på persondatasikkerheden, klager over behandlingen af persondata hos en virksomhed eller myndighed mv.

I forbindelse med de planlagte tilsyn udarbejder Datatilsynet oversigter over tilsyn, hvor der tages stilling til, hvilke områder, typer af dataansvarlige eller databehandlere mv., der fokuseres på i den kommende periode. Der fokuseres typisk på behandling af persondata, hvor der kan være en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, og behandlinger, hvor der anvendes ny teknologi.


Tidligere tilsyn


I den første halvdel af 2019 var Datatilsynets fokus bl.a. på brud på persondatasikkerheden, herunder håndtering af brud, databeskyttelsesrådgiverfunktionen hos kommuner, kryptering af e-mails hos private virksomheder, den registreredes indsigtsret mv.

Foreløbigt har vi set nogle resultater af disse tilsyn, herunder har Datatilsynet tidligere på sommeren udtalt kritik hos en lang række kommuner og privathospitaler, fordi de ikke havde tilstrækkeligt styr på databeskyttelsesrådgiverfunktionen. I efteråret 2018 var udpegelse af databeskyttelsesrådgivere hos private virksomheder desuden en del af de planlagte tilsyn hos Datatilsynet. Alle private virksomheder, der blev ført tilsyn med på dette område, fik udtalt kritik.

Derudover har vi set flere bødeindstillinger og udtalelser af kritik som følge af manglende sletning hos virksomheder. Dette som følge af Datatilsynets fokus på sletning af personoplysninger hos private virksomheder i forbindelse med planlagte tilsyn i den anden halvdel af 2018.


Områder for tilsyn i 2019


De fire områder for planlagte tilsyn i anden halvdel af 2019 er databehandlere, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering.


Databehandlere


I forbindelse med anvendelsen af databehandlere har Datatilsynet valgt at fokusere på to underområder hos databehandleren selv, nemlig behandlingssikkerhed og brugen af underdatabehandlere.

Der skal indføres passende tekniske og organisatoriske foranstaltninger for beskyttelse af persondata, uanset om der er tale om en dataansvarlig eller en databehandler. Tilsynet vil derfor foregå hos et antal leverandører til både den offentlige og den private sektor.

Derudover skal databehandlere, når de selv anvender databehandlere – såkaldte underdatabehandlere – sørge for at pålægge underdatabehandlerne de samme databeskyttelseskrav som dem, der fremgår af databehandleraftalen, der er indgået mellem den dataansvarlige og databehandleren. Det er som udgangspunkt databehandleren, der er ansvarlig for, at der indgås en databehandleraftale mellem databehandleren og underdatabehandleren – en underdatabehandleraftale.

For at anvende underdatabehandlere skal databehandleren have en specifik eller generel skriftlig godkendelse fra den dataansvarlige, og i tilfælde af en generel skriftlig godkendelse skal eventuelt planlagte ændringer underrettes til den dataansvarlige, ligesom den dataansvarlige skal have mulighed for at gøre indsigelse mod ændringerne.

Det er typisk også databehandleren, der fører tilsyn med underdatabehandleren. Tilsynet kan være reguleret i databehandleraftalen mellem den dataansvarlige og databehandleren. Som databehandler er det desuden vigtigt at være opmærksom på, at hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig for over for den dataansvarlige for opfyldelse af underdatabehandlerens forpligtelser.


Den daglige overvågning


Datatilsynet har valgt at have fokus på kontrolforanstaltninger i forhold til medarbejdere, kunders købshistorik, kunders rejsehistorik og automatisk nummerpladegenkendelse i indkøbscentre.

I forhold til medarbejderne vil Datatilsynet undersøge, om arbejdsgiver har løftet sin oplysningspligt over for medarbejderne tilstrækkeligt. Det er således vigtigt at være opmærksom på, at oplysningspligten for eksempelvis en virksomhed eller myndighed ikke kun gælder udadtil i forhold til borgere, kunder mv., men også intern i forhold til egne medarbejdere.

I forbindelse med kunders købshistorik og rejsehistorik vil Datatilsynet kontrollere, om virksomheder opfylder deres oplysningspligt over for kunderne, og hvor længe oplysningerne opbevares. Udover oplysningspligt og opbevaringsperiode vil også behandlingshjemlen blive undersøgt nærmere i forbindelse med nummerpladegenkendelse i indkøbscentre.

Det er vigtigt altid at huske oplysningspligten, idet der sjældent kan gøres brug af en undtagelse herfor, ligesom sletning fortsat vil være en prioritet for Datatilsynet at kontrollere. Det er vigtigt, at man som dataansvarlig har fastsat et tidspunkt for sletningen af oplysninger, når de ikke længere er nødvendige, og at man følger disse slettefrister, ligesom man skal følge op på og kunne dokumentere, at der er sket sletning.


Databeskyttelse i forbindelse med ansættelsesforhold


Herunder hører også kontrollen af oplysningspligten over for medarbejdere. Det skal erindres, at man som dataansvarlig også har en oplysningspligt i forbindelse med rekruttering af nye medarbejdere.

I forbindelse med rekrutteringen vil Datatilsynet desuden fokusere på sletning af oplysninger – altså eksempelvis CV, ansøgninger, noter fra samtaler mv.

Ved kontrol af databeskyttelse i forbindelse med ansættelsesforhold vil Datatilsynet både føre tilsyn på det kommunale område, hos staten, i den private sektor og en velgørende organisation.


Afslutningsvis


Henset til udviklingen på tilsynsområdet, og hvad tidligere tilsyn har medført, er der en god grund til – hvis I stadig ikke er helt i mål med jeres GDPR-compliance – at fokusere på de områder, som Datatilsynet har udtaget til tilsyn i anden halvdel af 2019, samt at samle op på de områder, der hidtil har været genstand for de planlagte tilsyn, eftersom disse formentlig fortsat vil være i Datatilsynets kikkert, både i forbindelse med de planlagte tilsyn og ad hoc-tilsyn.

 

 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted