Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret, og det spænder fra at vejlede og rådgive til at behandle klagesager (som også er en del af Datatilsynets tilsynsaktiviteter) og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige andre typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også aktivt i bl.a. det fælles europæiske samarbejde om databeskyttelse.
I teksten nedenfor kan du læse om, hvilke områder Datatilsynet på nuværende tidspunkt særligt vil fokusere på i 2024, når det gælder de tilsynsaktiviteter, vi selv beslutter at iværksætte. Der er ved fastlæggelsen af disse områder endvidere taget i betragtning, at Datatilsynet løbende igennem året også tager sager op af egen drift på baggrund af klager og andet input.
Brug af kunstig intelligens og automatisering
Udviklingen og udbredelsen af kunstig intelligens (”AI”) er vokset eksponentielt gennem de seneste par år. Denne udvikling er bl.a. særligt drevet af udvikling inden for såkaldt generativ AI, som bliver spået til at få en grundlæggende betydning for måden, vi alle arbejder på. Teknologien indebærer dog særlige risici for de borgere, hvis oplysninger bliver behandlet som led i udvikling eller brug af disse løsninger. Et andet område, hvor AI også i stigende omfang bliver udbredt er inden for sundhedssektoren, hvor løsninger bl.a. bruges som beslutningsstøtte i patientbehandlingen. Brug af sådanne løsninger indebærer særligt i sundhedssektoren store risici for borgerne.
Foruden kunstig intelligens automatiserer private og offentlige organisationer sine forretnings- og arbejdsgange. Sådanne Robotic Proces Automation-løsninger indebærer generelt færre risici for de registrerede, idet løsningerne arbejder efter en foruddefineret logik, men kan efter omstændighederne introducere særlige sikkerhedsmæssige problemstillinger.
Datatilsynet vil derfor i 2024 fastholde sit fokus på kunstig intelligens og føre tilsyn med offentlige og private organisationers brug af kunstig intelligens, herunder særligt generativ AI løsninger og AI-løsninger inden for sundhedssektoren, ligesom tilsynet vil føre tilsyn med brug af automatiseringsløsninger.
Overvågning af ansatte
Datatilsynet vil i 2024 have fokus på overvågning af ansatte og vil i den forbindelse foretage et tilsyn i form af en kortlægning af omfanget og karakteren af den overvågning, der finder sted med henblik på kontrol af ansatte. Kortlægningen skal omfatte både private og offentlige arbejdsgivere.
Den registreredes ret til indsigt
Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerede håndhævelsesramme (Coordinated Enforcement Framework (CEF) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. Den første fælles indsats blev iværksat i 2022 og omhandlede offentlige myndigheders brug af cloudservices. I 2023 deltog Datatilsynet i den koordinerede indsats om udpegning af databeskyttelsesrådgivere og deres rolle. Også i 2024 deltager Datatilsynet, hvor indsatsen kommer til at omhandle de dataansvarliges behandling af anmodninger om indsigt fra den registrerede.
Boligforeninger
Mange registrerede bor i boliger, der administreres af professionelle administratorer. I denne forbindelse behandler boligadministrationsselskaberne og boligselskabernes egen administration en lang række oplysninger om de registrerede og vil ofte også håndtere eksempelvis retten til indsigt eller sletning på vegne af den dataansvarlige andels-, ejerforening eller boligselskab. Datatilsynet vil i 2024 derfor fokusere på håndteringen og overholdelse af de registreredes rettigheder hos disse professionelle aktører. Herudover vil Datatilsynet sætte fokus på boligforeningers brug af tv-overvågning.
Kommunale webarkiver
På baggrund af flere klagesager offentliggjorde Datatilsynet i 2021 retningslinjer for kommuners offentliggørelse af oplysninger i webarkiver. Datatilsynet vil i 2024 føre tilsyn med, hvordan kommunerne har implementeret disse retningslinjer.
Privatskoler
Datatilsynet vil i 2024 føre tilsyn med privatskolers behandling af personoplysninger, hvor temaerne vil være hjemmel samt håndtering af indsigts- og sletningsanmodninger.
Online og fysisk indkøb
I onlinehandel har det i sagens natur altid været nødvendigt at behandle personoplysninger om kunderne, f.eks. for at levere den bestilte vare eller at sende kunderne relevante tilbud, hvis de har bedt om det. I stigende omfang er det dog også blevet muligt at gemme sine betalingskortoplysninger for at gøre det lettere at handle igen næste gang.
Tilsvarende sker der i dag også behandling af personoplysninger, når kunderne handler i fysiske butikker. Det sker bl.a. ved brug af de såkaldte scan-og-betal apps, hvor en række detailhandel gør det muligt for kunderne at scanne deres varer undervejs og betale via appen og på den måde undgå den almindelige kassebetjening.
Datatilsynet vil i 2024 bl.a. have fokus på, at behandling af personoplysninger som led i disse aktiviteter sker inden for rammerne af databeskyttelsesreglerne.
Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger
Offentlige og private organisationer har – som dataansvarlige og/eller som databehandlere – et ansvar for at etablere et passende sikkerhedsniveau, når de behandler personoplysninger. Det indebærer, at der bl.a. skal træffes de fornødne tekniske og organisatoriske sikkerheds-foranstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab fx som led i misbrug af adgangsrettigheder.
Datatilsynet har de senere år set mange eksempler på persondatabrud, hvor mangelfuld rettighedsstyring har forøget risikoen for misbrug af personoplysninger, fx fordi en hacker har fået bedre mulighed for at tilgå oplysninger inde i systemet eller hvor medarbejdere uberettiget tilgår personoplysninger af nysgerrighed eller for at opnå en form for personlig vinding uden risiko for opdagelse. Øget anvendelse af automatisering gennem RPA teknologi kan ligeledes øge risikoen for misbrug, hvis ikke der er styr på rettighedsstyringen. Systematisk rettighedsstyring, gode kontrolprocedurer og effektiv håndhævelse fra den dataansvarliges side er tiltag der er centrale i forebyggelsen af denne type misbrug. I 2024 har Datatilsynet derfor besluttet at sætte fokus på dette hos et antal offentlige og private dataansvarlige.
Grundlæggende behandlingssikkerhed hos kommuner og regioner
Datatilsynet har siden 2020 gennemført en række modenhedstilsyn med fokus på grundlæggende behandlingssikkerhed hos mange af landets kommuner og landets regioner. Dette har givet anledning til fysiske tilsynsbesøg, kritik- og påbudsafgørelser og straffesager samt en lang række vejledningsinitiativer, der alle er målrettet relevante områder, som er identificeret gennem tilsynsindsatsen.
Datatilsynet vil i 2024 fortsat følge op på flere enkeltområder, hvor tilsynsindsatsen har afdækket problemer med behandlingssikkerhed, herunder områder som i flere tilfælde har givet anledning til politianmeldelse. Det gælder emner som kryptering af bærbare datamedier, scanningsværktøjer og udarbejdelse af konsekvensanalyser. I 2024 gennemføres derudover den sidste del af modenhedstilsynet med særlig fokus på de kommuner, som endnu ikke har været omfattet af indsatsen.
Behandling af personoplysninger i fælleseuropæiske informationssystemer
Datatilsynet er tilsynsmyndighed for danske myndigheders behandling af personoplysninger i forbindelse med anvendelsen af en række fælleseuropæiske informationssystemer. Det drejer sig bl.a. om Schengen-samarbejdet (SIS), Visuminformationssystemet (VIS) og Toldinformationssystemet (CIS). Datatilsynet vil i 2024 føre tilsyn med en række myndigheders behandling af personoplysninger i forbindelse med anvendelsen af flere af disse fælleseuropæiske informationssystemer.
Retshåndhævelsesloven
Retshåndhævelsesloven gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Datatilsynet fører tilsyn med de retshåndhævende myndigheders behandling af personoplysninger omfattet af retshåndhævelsesloven – dog med undtagelse af domstolene. Datatilsynet behandler endvidere klagesager og tager sager op af egen drift på området. Datatilsynet vil i 2024 udføre et antal tilsynsaktiviteter i forhold til de retshåndhævende myndigheders overholdelse af en række af lovens bestemmelser.
PNR-lov
PNR-loven udgør den retlige ramme for politiets indsamling og behandling af de passagerlisteoplysninger (PNR-oplysninger), som luftfartsselskaberne er i besiddelse af om deres passagerer. Oplysningerne må ifølge loven alene behandles til nogle særligt opregnede formål. Der er i medfør af loven etableret en PNR-enhed hos politiet, som er ansvarlig for bl.a. at indsamle, opbevare, og videregive oplysningerne. Datatilsynet er udpeget til at føre tilsyn med PNR-enheden. Datatilsynet vil i 2024 føre tilsyn med politiets overholdelse af lovens bestemmelser.