Datatilsynet har nu offentliggjort, hvilke databeskyttelsesretlige områder de vil fokusere på i forbindelse med de planlagte tilsyn i andet halvår af 2019. Datatilsynet vil fokusere på fire overordnede områder; databehandlere, den daglige overvågning af registrerede, databeskyttelse i forbindelse med ansættelsesforhold og automatiske afgørelser og profilering.
Datatilsynet som tilsynsmyndighed
En af Datatilsynets opgaver er at føre tilsyn med, at dataansvarlige og databehandlere overholder databeskyttelsesreglerne. Dette gør Datatilsynet gennem to typer af tilsyn, de planlagte og ad hoc-tilsyn. Ad hoc-tilsynene iværksættes som følge af konkrete hændelser, som Datatilsynet enten selv er blevet opmærksom på, eller er blevet tippet om. Det kan eksempelvis være brud på persondatasikkerheden, klager over behandlingen af persondata hos en virksomhed eller myndighed mv.
I forbindelse med de planlagte tilsyn udarbejder Datatilsynet oversigter over tilsyn, hvor der tages stilling til, hvilke områder, typer af dataansvarlige eller databehandlere mv., der fokuseres på i den kommende periode. Der fokuseres typisk på behandling af persondata, hvor der kan være en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, og behandlinger, hvor der anvendes ny teknologi.
Tidligere tilsyn
I den første halvdel af 2019 var Datatilsynets fokus bl.a. på brud på persondatasikkerheden, herunder håndtering af brud, databeskyttelsesrådgiverfunktionen hos kommuner, kryptering af e-mails hos private virksomheder, den registreredes indsigtsret mv.
Foreløbigt har vi set nogle resultater af disse tilsyn, herunder har Datatilsynet tidligere på sommeren udtalt kritik hos en lang række kommuner og privathospitaler, fordi de ikke havde tilstrækkeligt styr på databeskyttelsesrådgiverfunktionen. I efteråret 2018 var udpegelse af databeskyttelsesrådgivere hos private virksomheder desuden en del af de planlagte tilsyn hos Datatilsynet. Alle private virksomheder, der blev ført tilsyn med på dette område, fik udtalt kritik.
Derudover har vi set flere bødeindstillinger og udtalelser af kritik som følge af manglende sletning hos virksomheder. Dette som følge af Datatilsynets fokus på sletning af personoplysninger hos private virksomheder i forbindelse med planlagte tilsyn i den anden halvdel af 2018.
Områder for tilsyn i 2019
De fire områder for planlagte tilsyn i anden halvdel af 2019 er databehandlere, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering.
Databehandlere
I forbindelse med anvendelsen af databehandlere har Datatilsynet valgt at fokusere på to underområder hos databehandleren selv, nemlig behandlingssikkerhed og brugen af underdatabehandlere.
Der skal indføres passende tekniske og organisatoriske foranstaltninger for beskyttelse af persondata, uanset om der er tale om en dataansvarlig eller en databehandler. Tilsynet vil derfor foregå hos et antal leverandører til både den offentlige og den private sektor.
Derudover skal databehandlere, når de selv anvender databehandlere – såkaldte underdatabehandlere – sørge for at pålægge underdatabehandlerne de samme databeskyttelseskrav som dem, der fremgår af databehandleraftalen, der er indgået mellem den dataansvarlige og databehandleren. Det er som udgangspunkt databehandleren, der er ansvarlig for, at der indgås en databehandleraftale mellem databehandleren og underdatabehandleren – en underdatabehandleraftale.
For at anvende underdatabehandlere skal databehandleren have en specifik eller generel skriftlig godkendelse fra den dataansvarlige, og i tilfælde af en generel skriftlig godkendelse skal eventuelt planlagte ændringer underrettes til den dataansvarlige, ligesom den dataansvarlige skal have mulighed for at gøre indsigelse mod ændringerne.
Det er typisk også databehandleren, der fører tilsyn med underdatabehandleren. Tilsynet kan være reguleret i databehandleraftalen mellem den dataansvarlige og databehandleren. Som databehandler er det desuden vigtigt at være opmærksom på, at hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig for over for den dataansvarlige for opfyldelse af underdatabehandlerens forpligtelser.
Den daglige overvågning
Datatilsynet har valgt at have fokus på kontrolforanstaltninger i forhold til medarbejdere, kunders købshistorik, kunders rejsehistorik og automatisk nummerpladegenkendelse i indkøbscentre.
I forhold til medarbejderne vil Datatilsynet undersøge, om arbejdsgiver har løftet sin oplysningspligt over for medarbejderne tilstrækkeligt. Det er således vigtigt at være opmærksom på, at oplysningspligten for eksempelvis en virksomhed eller myndighed ikke kun gælder udadtil i forhold til borgere, kunder mv., men også intern i forhold til egne medarbejdere.
I forbindelse med kunders købshistorik og rejsehistorik vil Datatilsynet kontrollere, om virksomheder opfylder deres oplysningspligt over for kunderne, og hvor længe oplysningerne opbevares. Udover oplysningspligt og opbevaringsperiode vil også behandlingshjemlen blive undersøgt nærmere i forbindelse med nummerpladegenkendelse i indkøbscentre.
Det er vigtigt altid at huske oplysningspligten, idet der sjældent kan gøres brug af en undtagelse herfor, ligesom sletning fortsat vil være en prioritet for Datatilsynet at kontrollere. Det er vigtigt, at man som dataansvarlig har fastsat et tidspunkt for sletningen af oplysninger, når de ikke længere er nødvendige, og at man følger disse slettefrister, ligesom man skal følge op på og kunne dokumentere, at der er sket sletning.
Databeskyttelse i forbindelse med ansættelsesforhold
Herunder hører også kontrollen af oplysningspligten over for medarbejdere. Det skal erindres, at man som dataansvarlig også har en oplysningspligt i forbindelse med rekruttering af nye medarbejdere.
I forbindelse med rekrutteringen vil Datatilsynet desuden fokusere på sletning af oplysninger – altså eksempelvis CV, ansøgninger, noter fra samtaler mv.
Ved kontrol af databeskyttelse i forbindelse med ansættelsesforhold vil Datatilsynet både føre tilsyn på det kommunale område, hos staten, i den private sektor og en velgørende organisation.
Afslutningsvis
Henset til udviklingen på tilsynsområdet, og hvad tidligere tilsyn har medført, er der en god grund til – hvis I stadig ikke er helt i mål med jeres GDPR-compliance – at fokusere på de områder, som Datatilsynet har udtaget til tilsyn i anden halvdel af 2019, samt at samle op på de områder, der hidtil har været genstand for de planlagte tilsyn, eftersom disse formentlig fortsat vil være i Datatilsynets kikkert, både i forbindelse med de planlagte tilsyn og ad hoc-tilsyn.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.