Er du klar til at få besøg af Datatilsynet?

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Hvert år gennemfører Datatilsynet planlagte tilsyn hos myndigheder og virksomheder.

Sådan udvælges temaer:
Datatilsynet prioriterer og tilrettelægger selv deres planlagte tilsyn, men følgende kriterier indgår bl.a., når Datatilsynet beslutter, hvilke temaer tilsynet vil have fokus på:

• Emner som det har vist sig giver udfordringer for de dataansvarlige. Datatilsynet er løbende i dialog med både virksomheder og det offentlige, og får herigennem indsigt i, hvilke områder, der volder udfordringer.
• Henvendelser fra borgere, medier og andre vedrørende pågældende emner eller virksomheder/offentlige myndigheder. 
• Datatilsynet forsøger at tilrettelægge tilsyn i hele DK, så geografi indgår også i planlægningen.
• Dataansvarlige der behandler personfølsomme oplysninger i stort omfang fx kommuner, regioner eller private virksomheder.
• Nye teknologier, hvor der behandles personoplysninger. 

Datatilsynet har i første halvår af 2019 valgt at fokusere på følgende temaer:

• Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder
• Kryptering af e-mails hos private virksomheder
• Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder
• Autorisation af medarbejdere hos kommunerne
• Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder
• Brug (og genbrug) af data i den kommunale forvaltning
• Databeskyttelsesrådgiverfunktionen hos kommunerne

Temaer
Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder
Siden 25. maj 2018 har alle dataansvarlige været forpligtet til at anmelde brud på persondatasikkerheden til Datatilsynet. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet. Forpligtelsen er udtryk for databeskyttelsesforordningens fokus på ansvarlighed og har til formål at tilvejebringe gennemsigtighed og især at sikre, at dataansvarlige reagerer, når der opstår et brud på persondatasikkerheden.

Datatilsynet har modtaget mange anmeldelser af brud på persondatasikkerheden. De mange anmeldelser har givet Datatilsynet et godt indblik i, hvilke udfordringer virksomheder og myndigheder står over for. Herudover har anmeldelserne givet Datatilsynet mulighed for at følge med i og sikre sig, at virksomhederne og myndighederne håndterer bruddet og begrænser bruddets mulige skadevirkninger.

Datatilsynet har derfor besluttet at føre tilsyn med, om offentlige myndigheder og private virksomheder anmelder de brud på persondatasikkerheden, som de skal. Datatilsynet vil føre tilsyn med fem private virksomheder og 10 offentlige myndigheder.

Kryptering af e-mails hos private virksomheder
I sommeren 2018 sendte Datatilsynet en udmelding ud om, at det efter tilsynets opfattelse normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Datatilsynet meldte samtidig ud, at tilsynet ikke ville håndhæve ovennævnte udmelding før efter den 1. januar 2019, da det i den private sektor ville kræve noget tilpasning at indrette sig i overensstemmelse med denne udmelding.

Datatilsynet har besluttet at føre tilsyn med to advokatkontorer, et revisionsfirma og en fagforening.

Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder
Der er stor bevågenhed omkring kommerciel brug af data, og flere virksomheder har profileret sig på at aggregere og sammenstille data til brug for videresalg. Datatilsynet følger denne udvikling nøje og har valgt i første halvår af 2019 at sætte fokus på temaet og besluttet at føre tilsyn med en privat virksomhed, som udbyder disse services.

Datatilsynets tilsyn vil omfatte flere forskellige problemstillinger, som er relevante for denne type virksomhed, herunder aggregering og sammenstilling af data, fortsat ”anonymitet” for de registrerede, brug af algoritmer og scoringsmekanismer til de foretagne behandlinger. Herudover vil Datatilsynet fokusere på de registreredes muligheder for at udøve deres rettigheder. 

Autorisation af medarbejdere hos kommunerne
Der behandles i landets kommuner personoplysninger i stort omfang, herunder også fortrolige og følsomme oplysninger. For at opfylde databeskyttelsesforordningens krav til behandlingssikkerhed, skal kommunerne gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til karakteren af den pågældende behandling, dens omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Et passende sikkerhedsniveau hos kommunerne vil efter Datatilsynets opfattelse bl.a. kræve, at kommunerne har autorisationsordninger, hvorefter kommunernes medarbejdere kun har adgang til de oplysninger, som de har behov for. Ligeledes vil kommunerne skulle føre løbende kontrol med autorisationerne. Datatilsynet har besluttet at kigge på dette tema hos kommunerne i første halvår af 2019.

Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder
Den registrerede har ret til at få indsigt i personoplysninger, som behandles om vedkommende. Retten til indsigt giver den registrerede mulighed for at få indblik i, om der behandles oplysninger om vedkommende og også at kontrollere en eventuel behandlings lovlighed. Datatilsynet har besluttet at sætte fokus på indsigtsretten i første halvår af 2019 og vil føre tilsyn med tre offentlige myndigheder og tre private virksomheder.

Brug (og genbrug) af data i den kommunale forvaltning
Datatilsynet har besluttet at føre tilsyn med kommuners eventuelle (gen)brug af data til automatiserede beslutninger og vurderinger. Datatilsynet vil bl.a. kigge på behandlingshjemmel og hvorvidt (gen)brugen af data er forenelig med det oprindelige formål. Herudover vil Datatilsynet fokusere på brugen af algoritmer og scoringsmekanismer i forhold til den foretagne behandling.

Databeskyttelsesrådgiverfunktionen hos kommunerne
Databeskyttelsesforordningen stiller krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en databeskyttelsesrådgiver (kaldes ofte også DPO, som er den engelske forkortelse for Data Protection Officer). Datatilsynet har besluttet, at en række tilsyn i første halvår af 2019 skal fokusere på forskellige temaer omkring kommunernes databeskyttelsesrådgivere.

Datatilsynet har valgt at opdele tilsynene i to grupper.

Den ene gruppe af tilsyn vil fokusere på kommuner, som deler databeskyttelsesrådgiver med andre kommuner. Her vil fokus navnlig være på databeskyttelsesrådgiverens ressourcer, opgaver og faglige kvalifikationer.
Den anden gruppe af tilsyn vil fokusere på kommuner, som har tilkøbt sig ydelsen hos et advokatselskab. Her vil fokus navnlig være på, om databeskyttelsesrådgiveren løser de opgaver, som forordningen forudsætter, ligesom fokus vil være på medarbejders og de registreredes adgang til databeskyttelsesrådgiveren.

Sådan foregår tilsynsbesøg.
Datatilsynet gennemfører både ”skrivebordstilsyn” og fysiske tilsyn. Ved ikke-fysiske tilsyn modtager den dataansvarlige typisk et brev fra Datatilsynet, hvori der redegøres for tilsynets tema og dette ledsages ofte af et spørgeskema.

Når den dataansvarlige skriftligt har besvaret spørgeskemaet vil der mange gane være en efterfølgende dialog med Datatilsynet, der kan indeholde afklarende eller supplerende spørgsmål. Når sagen er tilstrækkeligt oplyst kommer Datatilsynet med udtalelse og denne kan være kombineret med en politianmeldelse.

Fysiske tilsyn varsles typisk 4 uger inden de finder sted, og sammen med varslingen fra Datatilsynet vil den dataansvarlige ofte også modtage en beskrivelse af det tema, der sættes fokus på ledsaget af et spørgeskema.

Når dagen for tilsynet oprinder, får den dataansvarlige besøg af medarbejdere fra Datatilsynet og afhængigt af temaet for tilsynet kan det både være medarbejdere med juridiske- og IT-kompetencer.

Under tilsynsbesøget vil Datatilsynet ofte med afsæt i den dataansvarlige egen dokumentation fx fortegnelser, datapolitikker mv. samt besvarelserne på det fremsendte spørgeskema interviewe den dataansvarlige samt relevante medarbejdere. Efter tilsynsbesøget fremsender Datatilsynet et mødereferat og den dataansvarlige har mulighed for at komme med bemærkninger til referatet.

Tilsynet afsluttet med endelig udtalelse fra Datatilsynet, og hvis der er fundet overtrædelse kan denne være kombineret med en politianmeldelse.

Medlemmer af Dansk Erhverv kan få rådgivning om persondataret samt sparring i forbindelse med tilsyn fra Datatilsynet.