Særlige fokusområder for Datatilsynets tilsynsaktiviteter i 2022

Her kan du læse om, hvilke områder Datatilsynet særligt vil fokusere på, når det gælder de tilsynsaktiviteter, vi selv sætter i værk i løbet af 2022.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret og spænder fra at vejlede og rådgive til at behandle klagesager og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også i bl.a. det fælles europæiske samarbejde om databeskyttelse.

Datatilsynet har i november 2020 offentliggjort en strategi for at styrke sin data- og risikobaserede tilsynsindsats: ”Tilsyn med effekt: Datatilsynets data- og risikobaserede tilgang 2020-2023”. Den datadrevne tilgang skal bidrage til, at tilsynets ressourcer anvendes mest optimalt.

I teksten nedenfor kan du læse om, hvilke områder Datatilsynet i 2022 – bl.a. med afsæt i denne strategi – særligt vil fokusere på, når det gælder de tilsynsaktiviteter, vi selv beslutter at iværksætte: 

Arkivloven

Regler om beskyttelse af personoplysninger er først og fremmest fastsat i databeskyttelsesforordningen og databeskyttelsesloven, men er også indeholdt i anden lovgivning, herunder i arkivlovgivningen.

Ifølge arkivloven har bl.a. kommunerne i en række tilfælde mulighed for at oprette egne arkiver. Det følger endvidere af loven, at arkivalier hos de offentlige arkiver som udgangspunkt bliver umiddelbart tilgængelige efter 20 år, og borgere kan dermed få adgang til at se disse arkivalier uden yderligere tilladelse fra det offentlige arkiv. For visse typer af arkivalier gælder der dog længere tilgængelighedsfrister end 20 år. Hvis der f.eks. er tale om arkivalier, der indeholder oplysninger om enkeltpersoners private, herunder økonomiske forhold, er de først tilgængelige efter 75 år.

Hvis tilgængelighedsfristen endnu ikke er udløbet, kan der søges om tilladelse til at benytte arkivalierne. Den, der søger om tilladelse, skal oplyse om formålet med den tilsigtede benyttelse af de oplysninger, der søges adgang til. Er der tale om arkivalier, som er afleveret af en offentlig myndighed og som indeholder oplysninger om enkeltpersoners rent private forhold, og har den tidligere behandling være omfattet af databeskyttelsesforordningen, skal det offentlige arkiv indhente samtykke fra Datatilsynet, inden der gives tilladelse til benyttelse af arkivalierne.

Datatilsynet har i 2022 valgt at føre tilsyn med en række kommuners håndtering af arkivalier, herunder kommunernes overholdelse af de særlige regler om adgang til arkivalier inden tilgængelighedsfristernes udløb.  

Tilladelser til at behandle følsomme personoplysninger i den private sektor

Private virksomheder mv. kan på nærmere fastsatte vilkår i helt særlige tilfælde få tilladelse fra Datatilsynet til at behandle følsomme oplysninger i databeskyttelsesforordningens forstand, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser.

Datatilsynet har besluttet i 2022 at føre tilsyn med, om de vilkår, som Datatilsynet har fastsat i forbindelse med en række tilladelser, bliver overholdt.

Iagttagelse af oplysningspligt ved uanmodet henvendelse

Der findes i databeskyttelsesforordningen en række helt centrale regler, der omhandler de registreredes rettigheder, herunder regler om den dataansvarliges oplysningspligt ved behandling af personoplysninger. Reglerne skal være med til at sikre, at behandling af personoplysninger foregår på en rimelig og gennemsigtig måde.

Datatilsynet har i 2022 valgt at føre tilsyn med en række private aktørers iagttagelse af oplysningspligten, når disse dataansvarlige henvender sig uanmodet over for de registrerede.

Forsyningsselskabers håndtering af anmodninger om indsigt og sletning

Datatilsynet modtager jævnligt henvendelser fra borgere, der klager over forsyningsselskabers besvarelse af anmodninger om indsigt i eller sletning af personoplysninger, som selskaberne behandler.

I 2022 retter Datatilsynet derfor fokus mod forsyningsselskabers håndtering af anmodninger fra de registrerede om indsigt og sletning.

Behandling af personoplysninger om hjemmesidebesøgende

Som opfølgning på Datatilsynets vejledning fra februar 2020 om behandling af personoplysninger om hjemmesidebesøgende og de tilsynssager, som tilsynet behandlede på dette område i 2021, har Datatilsynet for at fastholde fokus på området besluttet også i 2022 at iværksætte tilsyn inden for dette felt.

Persondatasikkerhed, inkl. brud på persondatasikkerheden

Myndigheder eller virksomheder har – som dataansvarlige og som databehandlere – et ansvar for at etablere et passende sikkerhedsniveau, når de behandler personoplysninger. Hvis der sker et brud på persondatasikkerheden har den dataansvarlige som udgangspunkt et ansvar for at anmelde bruddet til Datatilsynet, ligesom den dataansvarlige også i nogle tilfælde skal underrette de berørte registrerede om bruddet.

Databeskyttelsesforordningens regler om databeskyttelse gennem design og udarbejdelse af konsekvensanalyser skal sikre, at de fornødne garantier i behandlingen integreres fra starten, når it-løsninger designes, udvikles, indkøbes eller tilpasses med henblik på at opfylde forordningens krav og beskytte de registreredes rettigheder.

En konsekvensanalyse vedrørende databeskyttelse er en proces, der bl.a. har til formål at vurdere behandlingens nødvendighed og proportionalitet samt at bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører.

Vurdering af risici er også en del af kravene til behandlingssikkerhed generelt, men konsekvensanalysen går et skridt videre, ved at inkludere en proces, der blandt andet kan omfatte høring hos Datatilsynet og indhentning af de registreredes synspunkter vedrørende den planlagte behandling. Det er endvidere en proces, hvor der stilles specifikke krav til dokumentation.

Til gengæld er det kun i visse situationer, at den dataansvarlige skal lave en konsekvensanalyse. Der er databehandlinger, hvor det navnligt er påkrævet at udføre en konsekvensanalyse, jf. i den forbindelse også den liste, som Datatilsynet offentliggjorde i januar 2019 over de typer af behandlingsaktiviteter, der altid er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse. Ved andre behandlinger beror det på en konkret vurdering, hvorvidt en konsekvensanalyse er påkrævet. Det er i første omgang den dataansvarlige selv, der skal foretage denne vurdering.

Datatilsynet har derfor i 2022 besluttet at føre tilsyn med persondatasikkerheden mv. inden for følgende områder:

  • fællesoffentlige it-løsninger,
  • fællesstatslige it-løsninger,
  • om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom,
  • om der i de tilfælde, hvor der foreligger en høj risiko for de registrerede som følge af et brud på persondatasikkerheden sker den fornødne underretning af de berørte registrerede og
  • om de dataansvarlige i forbindelse med it-løsninger designes, udvikles, indkøbes eller tilpasses overholder reglerne om databeskyttelse gennem design og udarbejdelse af konsekvensanalyser.

Alt efter karakteren af de pågældende områder, vil tilsynene i varierende grad rette sig mod forskellige dataansvarlige i den private og i den offentlige sektor, og Datatilsynet vil i forbindelse med disse tilsyn også gøre brug af mere generelle screeningsmetoder hos et større antal dataansvarlige.

Kontrol med databehandlere

Virksomheder kan som dataansvarlige overlade personoplysninger til andre aktører, der som databehandlere herefter står for behandlingen af oplysningerne. Når man gør brug af databehandlere, skal man – foruden at indgå en databehandleraftale – føre en passende kontrol (tilsyn) med databehandleren. De enkelte dataansvarlige har med andre ord en selvstændig forpligtelse til at føre kontrol med, om en databehandler overholder den dataansvarliges instrukser for behandlingen.

Datatilsynet har siden 2016 løbende haft fokus på kontrol med databehandlere, og tilsynet har besluttet i 2022 at føre tilsyn med, om private virksomheder fører passende kontrol med sine databehandlere.

Tv-overvågning

Datatilsynet besluttede i 2021 at føre tilsyn med en række private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning, navnlig i lyset af den ændring af tv-overvågningsloven, som trådte i i kraft den 1. juli 2020.

Datatilsynet har valgt fortsat at fokusere en række af sine tilsynsaktiviteter på tv-overvågningsområdet, hvorfor Datatilsynet i 2022 vil udføre flere tilsyn med private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning.  

Behandling af personoplysninger i fælleseuropæiske informationssystemer

Datatilsynet er tilsynsmyndighed for danske myndigheders behandling af personoplysninger i forbindelse med anvendelsen af en række fælleseuropæiske informationssystemer. Det drejer sig bl.a. om Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (Eurodac), Toldinformationssystemet (CIS) og Informationssystemet for det indre marked (IMI)

Datatilsynet har besluttet i 2022 at føre tilsyn med en række myndigheders behandling af personoplysninger i forbindelse med anvendelsen af nogle af de nævnte informationssystemer.

Retshåndhævelsesloven

Retshåndhævelsesloven gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Datatilsynet fører tilsyn med de retshåndhævende myndigheders behandling af personoplysninger omfattet af loven – dog med undtagelse af domstolene. Datatilsynet behandler endvidere klagesager og tager sager op af egen drift på området.

Datatilsynet har i 2022 valgt at føre tilsyn med de retshåndhævende myndigheders overholdelse af en række af lovens bestemmelser, herunder sletning af personoplysninger og behandlingssikkerhed.