Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret, og det spænder fra at vejlede og rådgive til at behandle klagesager (som også er en del af Datatilsynets tilsynsaktiviteter) og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige andre typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også aktivt i bl.a. det fælles europæiske samarbejde om databeskyttelse.
Datatilsynet har i november 2020 offentliggjort en strategi for at styrke sin data- og risikobaserede tilsynsindsats: ”Tilsyn med effekt: Datatilsynets data- og risikobaserede tilgang 2020-2023”. Den datadrevne tilgang skal bidrage til, at tilsynets ressourcer anvendes mest optimalt.
Bedre balance mellem målrettede tilsyn og klagesagsbehandling
Hidtil har en relativt stor del af Datatilsynets ressourcer gået til at iværksætte undersøgelse i de mange klagesager, som vi modtager hvert år. Samtidig har der i Datatilsynet i de senere år været stort fokus på at rådgive og vejlede om databeskyttelsesreglerne, ligesom vi har sat aftryk på national lovgivning og internationalt samarbejde. Tilsynet har endvidere hvert år løbende taget sager op med udspring i tips, medieomtale o.l. Vi har i samme periode ligeledes formået at øge antallet af generelle tilsynsaktiviteter i form af skriftlige og fysiske tilsyn, modenhedsanalyser og anvendelse af nyt tilsynskoncept, som er udviklet som led i den data- og risikobaserede strategi.
Der er således de seneste år sket en væsentlig stigning i tilsynsaktiviteter, så tallet er gået fra 73 oprettede tilsynssager i 2017 til 513 i 2022. Der er dog fortsat tale om målrettede stikprøvekontroller i lyset af de mange dataansvarlige og databehandlere i såvel den offentlige som den private sektor, der i dag behandler personoplysninger.
Mens de målrettede tilsynsaktiviteter sætter fokus på nøje overvejede problemstillinger i udvalgte brancher og sektorer, har klagesagsbehandlingen i sagens natur i højere grad haft sit udspring i den enkelte borgers perspektiv. Klager har været og er fortsat en vigtig kilde til at få fokus på de rigtige problemstillinger, men en tilbundsgående undersøgelse af samtlige klager kan være på bekostning af andre sager, der er mere alvorlige og berører langt flere borgere – men som ikke nødvendigvis kommer til potentielle klageres kendskab.
I løbet af 2022 har Datatilsynet derfor besluttet at foretage en justering af kursen, så der i færre tilfælde sker en tilbundsgående undersøgelse af de enkelte klagesager - mens der bliver taget flere generelle sager op af egen drift.
Disse sager udvælger Datatilsynet som hidtil ud fra bl.a. klager, brud på persondatasikkerheden, medieomtale og tips – og vi styrker samtidig brugen af data for at kunne fokusere indsatsen på de områder, hvor der er tale om mange borgeres oplysninger, særligt beskyttelsesværdige oplysninger eller en høj risiko for borgerne.
Når det gælder klagesagerne, sker der nu en graduering af behandlingen af de enkelte klager, alt efter hvad der er relevant og formålstjenligt i den enkelte sag. Datatilsynet afslutter eksempelvis nogle klagesager ved at kontakte den dataansvarlige og orientere om klagen og de relevante regler, men ikke nødvendigvis gennemføre en omfattende og tidskrævende undersøgelse med høringer af parterne osv.
Med andre ord: i stedet for at undersøge et antal individuelle klagesager om indsigt fra kunder hos en bestemt virksomhed, kan Datatilsynet i stedet beslutte at tage en sag op af egen drift over for den pågældende virksomhed og spørge mere generelt ind til håndteringen af de registreredes rettigheder, herunder retten til indsigt. På denne måde løfter vi med de samme ressourcer databeskyttelsen – ikke blot for de enkelte klagere, men for alle virksomhedens kunder, ligesom Datatilsynets undersøgelse kan få andre problemer frem i lyset.
I teksten nedenfor kan du læse om, hvilke områder Datatilsynet på nuværende tidspunkt –særligt vil fokusere på i 2023, når det gælder de tilsynsaktiviteter, vi selv beslutter at iværksætte. Der er dog fortsat – i lyset af ovenstående strategiske justering – netop plads til løbende at tage sager op af egen drift på baggrund af klager og andet input.
Beskyttelse af børn
Datatilsynet vil i 2023 have fokus på beskyttelse af oplysninger om børn. Datatilsynet vil i den forbindelse bl.a. fortsætte med at føre tilsyn med tv-overvågning på døgninstitutioner og lignende. Tilsynene vil primært være rettet mod behandling af oplysninger om de anbragte børn og unge, men også fokusere på oplysninger om medarbejderne, herunder oplysningspligt.
Databeskyttelsesrådgivere – udpegning og rolle
Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerede håndhævelsesramme (Coordinated Enforcement Framework (CEF) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. Den første fælles indsats blev iværksat i 2022 og omhandlede offentlige myndigheders brug af cloudservices. EDPB har besluttet, at den fælles indsats i 2023, som Datatilsynet vil deltage i, kommer til at handle om udpegning af databeskyttelsesrådgivere og deres rolle.
Behandling af personoplysninger hos fremstillingsvirksomheder med fokus på specialfremstillede produkter med levering direkte til borgerne
I 2023 vil Datatilsynet føre tilsyn med en række virksomheder, som fremstiller hjælpemidler og andre produkter, som leveres direkte til borgerne efter rekvisition fra kommuner, hospitaler mv., og som i den forbindelse behandler særligt beskyttelsesværdige oplysninger, herunder følsomme oplysninger om de pågældende borgere. Tilsynene vil navnlig være fokuseret på virksomhedernes opbevaring og eventuelle videregivelse af oplysninger, dataminimering og behandlingssikkerhed.
Dette fokusområde er udvalgt for også at undersøge brancher, som ikke tidligere har været genstand for tilsynsaktiviteter og som heller i øvrigt har været genstand for tilsynets opmærksomhed på baggrund af mange klagesager eller anmeldte sikkerhedsbrud mv., men hvor der f.eks. behandles oplysninger om et stort antal borgere, særligt beskyttelsesværdige oplysninger, eller hvor der er tale om en høj risiko for borgerne.
Folketinget og Folketingets institutioner
I modsætning til, hvad der var gældende efter den tidligere persondatalov, er Folketinget og de institutioner, der hører under Folketinget, omfattet af reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Dog finder forordningen og loven ikke anvendelse på behandling af oplysninger, der foretages som led i Folketingets parlamentariske arbejde.
Datatilsynet vil i 2023 føre tilsyn med en af disse institutioner, der ikke tidligere har været underlagt tilsynets kompetence.
Behandling af personoplysninger om hjemmesidebesøgende
Som opfølgning på Datatilsynets vejledning fra februar 2020 om behandling af personoplysninger om hjemmesidebesøgende og de tilsynssager, som tilsynet behandlede på dette område i 2021/2022, har Datatilsynet for at fastholde fokus på området besluttet også i 2023 at iværksætte tilsyn inden for dette felt.
TV-overvågning
Ud over tilsyn med behandling af personoplysninger i forbindelse med tv-overvågning af anbragte børn og unge vil Datatilsynet i 2023 føre tilsyn med parkeringsselskabers brug af tv-overvågning i forbindelse med udstedelse af parkeringsafgifter.
Tilladelser til at videregive oplysninger fra forskning
Efter databeskyttelseslovens § 10, stk.1, må følsomme oplysninger og oplysninger om strafbare forhold behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne. Efter § 10, stk. 2, må de oplysninger, der er omfattet af stk. 1 – og oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed efter databeskyttelsesforordningens artikel 6 – ikke senere behandles i andet end videnskabeligt eller statistisk øjemed.
Personoplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, må alene videregives – f.eks. til et andet forskningsinstitut – med henblik på modtagerens udførelse af en undersøgelse i statistisk eller videnskabeligt øjemed af væsentlig samfundsmæssig betydning.
Der skal som udgangspunkt ikke indhentes tilladelse hos Datatilsynet til videregivelse af sådanne personoplysninger. Dog skal Datatilsynets forudgående tilladelse til videregivelse indhentes i følgende tre tilfælde:
- når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde
- når videregivelsen vedrører biologisk materiale
- når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende.
I forbindelse med meddelelse af tilladelse efter § 10, stk. 3, fastsætter Datatilsynet en række vilkår.
Datatilsynet har besluttet i 2023 at føre tilsyn med, om de vilkår, som Datatilsynet har fastsat i forbindelse med en række tilladelser efter § 10, stk. 3, bliver overholdt.
Behandling af personoplysninger i fælleseuropæiske informationssystemer
Datatilsynet er tilsynsmyndighed for danske myndigheders behandling af personoplysninger i forbindelse med anvendelsen af en række fælleseuropæiske informationssystemer. Det drejer sig bl.a. om Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (Eurodac), Toldinformationssystemet (CIS) og Informationssystemet for det indre marked (IMI).
Datatilsynet har besluttet i 2023 at føre tilsyn med en række myndigheders behandling af personoplysninger i forbindelse med anvendelsen af flere af de nævnte informationssystemer.
Retshåndhævelsesloven
Retshåndhævelsesloven gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Datatilsynet fører tilsyn med de retshåndhævende myndigheders behandling af personoplysninger omfattet af loven – dog med undtagelse af domstolene. Datatilsynet behandler endvidere klagesager og tager sager op af egen drift på området.
Datatilsynet har i 2023 valgt at føre tilsyn med de retshåndhævende myndigheders overholdelse af en række af lovens bestemmelser.