Datatilsynet har offentliggjort deres planlagte tilsynsplan for resten af 2018.

Dermed får virksomheder overblik over hvilke temaer Datatilsynet vil gå efter resten af 2018:

  • Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
  • Sletning af personoplysninger hos private virksomheder
  • Anvendelse af databehandlere hos kommunerne
  • Persondatasikkerheden i større it-systemer på sundhedsområdet
  • Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder
  • Udarbejdelse af en fortegnelse hos kommunerne
  • De registreredes rettigheder efter retshåndhævelsesloven
  • Databehandlingsaktiviteter i forhold til en række EU-informationssystemer

Se om tilsynet rammer din virksomhed

Hvert år foretager Datatilsynet et antal planlagte tilsyn, hvor der i første omgang findes frem til, hvilke temaer og myndigheder / virksomhedsbrancher tilsynene skal dække. Herefter finder de frem til de enkelte dataansvarlige, som skal være genstand for tilsynet.

Yderligere tager de også hvert år et antal ekstra sager op på eget initiativ (ad hoc tilsyn) som følge af konkrete hændelser.

Datatilsynet oplyser, at de i 2018 indtil videre har foretaget 27 ad hoc tilsyn op til behandling, efter bl.a. at være blevet kontaktet af journalister, bekymrede borgere mv. herom.

Rammer tilsynet min branche?

Herunder er en mere detaljeret baggrund af de enkelte temaer, som tilsynet vil udføre i resten 2018.

Det er vigtigt, at tilføje at understående kun er de oplyste tilsyn, hvilket betyder at virksomheder fortsat vil kunne få foretaget et ad hoc tilsyn.

Behandlingsgrundlag og persondatasikkerheden hos private virksomheder

Tusindvis af danskere modtog i tiden frem mod den 25 maj 2018 en masse emails i deres indbakker, der

under henvisning til de nye databeskyttelsesregler enten bad om et (fornyet) samtykke til fortsat, at kunne

behandle personoplysninger eller som gerne ville orientere om indholdet af deres persondatasikkerhedspolitik.

Spørgsmålet er imidlertid, om indholdet af disse emails i alle tilfælde var og er i overensstemmelse med databeskyttelsesreglerne og anden relevant lovgivning som f.eks markedsføringsloven.

Datatilsynet vil i samarbejde med Forbrugerombudsmanden undersøge dette nærmere hos en række private virksomheder. Fokus vil især være rettet mod en datingside og et par kundeklubber hos private virksomheder.

Sletning af personoplysninger hos private virksomheder

Som bekendt må virksomheder ikke behandle personoplysninger længere end det, der er nødvendigt

af hensyn til de formål, hvortil oplysningerne behandles. Altså skal personoplysningerne slettes, når de ikke længere er nødvendige for virksomheden. Husk, at det ikke er virksomheden, der beslutter nødvendigheden heraf.

Datatilsynet ønsker at følge op på, om private virksomheder har fået styr på deres sletterutiner, således at de   sletter personoplysninger, når der ikke længere er grundlag for at opbevare dem.

Datatilsynet har for at kontrollere dette besluttet, at føre tilsyn med sletning hos en hotelkæde, en møbelkæde og et taxaselskab.

Anvendelse af databehandlere hos kommunerne

Datatilsynet vil føre tilsyn med en række kommuner for, at se om disse til dels har styr på kontrakterne.

Persondatasikkerheden i større it-systemer på sundhedsområdet

Datatilsynet har besluttet at føre en række tilsyn med persondatasikkerheden i offentlige myndigheders it-systemer på sundhedsområdet, hvor der bl.a. anvendes ny teknologi. For at sikre at udvalgte myndigheder passer godt på borgernes (følsomme) personoplysninger.

Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder

Alle offentlige myndigheder og enkelte private virksomheder skal udpege en databeskyttelsesrådgiver (DPO).

De enkelte dataansvarlige eller databehandleren skal efter forordningen endvidere offentliggøre kontaktoplysninger for databeskyttelsesrådgiveren og meddele disse til Datatilsynet.

Ved mødet den 7. -8. maj 2018 aftalte de Nordiske datatilsyn, at man vil gennemføre et fælles tilsynsinitiativ i forhold til, om alle offentlige myndigheder har udpeget en databeskyttelsesrådgiver.

På baggrund heraf har Datatilsynet besluttet, at føre tilsyn med, om alle offentlige myndigheder og en række private virksomheder har fået udpeget en databeskyttelsesrådgiver og om kontaktoplysninger for denne er meldt til Datatilsynet.

Udarbejdelse af en fortegnelse hos kommunerne

Datatilsynet har valgt at føre tilsyn med udvalgte kommuner for at se om de lever op til kravene vedr. de påkrævede fortegnelser.

De udvalgte kommuner vil blive bedt om at indsende fortegnelserne til Datatilsynet, som herefter vil gennemgå fortegnelserne og stille supplerende spørgsmål til kommunernes behandling af personoplysninger.

De registreredes rettigheder efter retshåndhævelsesloven

Datatilsynet har valgt at føre tilsyn med, om udvalgte retshåndhævende myndigheder overholder reglerne

om de registreredes rettigheder, hvilket f.eks. kunne være oplysningspligten og indsigtsretten.

Læs hele tilsynsplanen her

Få det sidste på plads!

Som ovenstående antyder har Datatilsynet valgt, at fokusere mere på det offentlige her i resten af 2018 iht. de planlagte tilsyn – hvilket betyder at der nu er lidt ro til, som virksomhed at få de sidste ting på plads før Datatilsynet i 2019 begynder konkret at fokusere på virksomhederne.

Uforpligtende samtale:

Kontakt os allerede i dag uforpligtende på 7023 3838 og hør hvordan du som virksomhed får styr på GDPR og dermed undgår sanktioner og /eller bøder.

SEROP påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. SEROPs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har SEROPs konkrete information/rådgivning kun gyldighed på det tidspunkt, hvor den gives.