Gemt

Datatilsynets fokuspunkter ved tilsyn efter de nye databeskyttelsesregler

Nu har Datatilsynet været på tilsyn hos virksomheder, efter de nye databeskyttelsesregler trådte i kraft. Læs om, hvad tilsynet havde fokus på.

Nyhed

DANSK ERHVERV | PERSONALE - 1. november 2018

Den 25. maj 2018 trådte nye regler om databeskyttelse i kraft. Overtrædelser af reglerne kan være bekostelige. Derfor er det vigtigt at have styr på behandling af persondata, særligt hvis Datatilsynet skulle komme på besøg.

Hvordan udvælges de virksomheder, der skal undersøges?
Det er Datatilsynet, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet foretager hvert år et antal planlagte tilsyn, hvor man først finder ud af hvilke temaer og myndigheder/virksomhedsbrancher, tilsynene skal dække, og derefter finder frem til de enkelte virksomheder, som skal være genstand for tilsyn. Datatilsynet tager derudover hvert år også et antal ekstra sager op på eget initiativ og/eller på baggrund af kontakt fra journalister, bekymrede borgere mv.

Hvilke temaer har Datatilsynet haft fokus på ved tilsyn?
Dansk Erhverv har tidligere beskrevet, hvad Datatilsynet ville have fokus på i 2018 i forbindelse med sit tilsyn.

Nu har Datatilsynet så konkret været på tilsyn hos en række virksomheder, og Datatilsynet har offentliggjort de anvendte spørgeskemaer. Derfor ved vi nu mere om, hvad der konkret blev spurgt til fra Datatilsynet.

Af spørgeskemaerne fremgår det, at Datatilsynet bl.a. har haft fokus på:

  • at få oplysninger om udpegede databeskyttelsesrådgivere (DPO).
  • at få oplysninger om de behandlingsaktiviteter, som fremgår af den fortegnelse, som virksomheden skal lave over sine behandlinger af persondata. Se Dansk Erhvervs rådgivning og udkast til fortegnelse.
  • at få uddybet hvilke typer personoplysninger virksomheden behandler samt på hjemlen til den konkrete behandling. Se mere herom i Dansk Erhvervs vejledning om persondata.
  • at få udleveret en kopi af de samtykketekster, som virksomheden bruger, når der indhentes samtykke til behandling af persondata.
  • at få oplyst, hvordan virksomheden dokumenterer, at den registrerede har afgivet sit samtykke i overensstemmelse med databeskyttelsesreglerne.
  • at få en liste over de systemer, som virksomheden anvender til behandling af personoplysninger.
  • at få uddybet hvilke behandlinger af personoplysninger, der finder sted i systemet, hvilke typer af personoplysninger, der behandles samt hvilke slettefrister, der er fastsat i systemet. Det skulle også oplyses, hvordan systemet rent teknisk understøtter muligheden for angivelse af et tidspunkt for sletning, og systemets procedure for automatisk og manuel sletning af personoplysninger samt en række uddybende oplysninger om proceduren for opfølgning på sletning i systemet.

Se mere om Datatilsynets spørgsmål.

Der har altså været tale om en række dybdegående spørgsmål, som virksomhederne skulle tage stilling til og besvare. Man kan dog ikke regne med, at Datatilsynet ikke spørger om andre emner, hvis de kommer forbi. Dette har Datatilsynet tydeligt understreget, og man har uddybende forklaret, at der typisk er tale om forskellige spørgsmål fra tilsyn til tilsyn, og at tilsynstemaerne skifter fra år til år, ligesom spørgsmålene løbende revideres.

Vi ved endnu ikke, om tilsynene har medført sanktioner efter de nye regler, og hvad sanktionerne har gået ud på.

Af en række andre tilsyn, som Datatilsynet har foretaget, fremgår endvidere, at man her har haft fokus på virksomhedens manglende tilsyn med de virksomheder, der behandler persondata på vegne af virksomheden samt fokus på manglende databehandleraftaler med disse virksomheder.

Hvordan foregår et tilsyn?
Når Datatilsynet er på tilsyn, kan de uden retskendelse få adgang til alle lokaler, hvorfra der behandles personoplysninger. De har altså ret til at inspicere alle virksomhedens lokaler, ligesom tilsynet har ret til at inspicere virksomhedens computere mv.

I forbindelse med et tilsynsbesøg kan Datatilsynet også kræve at få alle de oplysninger, der er nødvendige for at varetage Datatilsynets tilsynsopgaver. Virksomheden skal således give Datatilsynet de oplysninger, der er nødvendige for, at Datatilsynet kan gennemføre sit tilsyn.

Ved et planlagt tilsyn bliver virksomheden varslet inden besøget, mens et tilsyn kan ske uden varsel, hvis det er et ”ad hoc besøg” (f.eks. efter en klage fra en borger).

Dansk Erhverv har udarbejdet vejledninger og paradigmer til vores medlemmer og herunder bl.a. vejledning og skabeloner, som hjælper din virksomhed med at overholde de komplicerede regler om databeskyttelse. Disse værktøjer kan vores medlemmer tilgå fra vores hjemmeside. Dansk Erhverv afholder desuden også kurser om persondata.