Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret og spænder fra at vejlede og rådgive til at behandle klagesager og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige typer af tilsyn hos myndigheder og virksomheder og deltager i bl.a. det fælles europæiske samarbejde om databeskyttelse.
Når det gælder de forskellige typer af tilsyn, så foretager Datatilsynet hvert år et antal planlagte tilsyn, hvor vi i første omgang finder frem til, hvilke temaer og myndigheder/virksomhedsbrancher tilsynene skal dække, og herefter finder vi så frem til de enkelte dataansvarlige, som skal være genstand for vores tilsyn. Vi tager hvert år også altid et antal ekstra sager op på eget initiativ (ad hoc-tilsyn) som følge af konkrete hændelser.
Temaer
Når det gælder de planlagte tilsyn, har Datatilsynet i første halvår af 2019 valgt at fokusere på følgende temaer:
- Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder
- Databeskyttelsesrådgiverfunktionen hos kommunerne
- Kryptering af e-mails hos private virksomheder
- Autorisation af medarbejdere hos kommunerne
- Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder
- Brug (og genbrug) af data i den kommunale forvaltning
- Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder
Herunder kan du læse mere om baggrunden for de enkelte temaer.
Brud på persondatasikkerheden
Siden 25. maj 2018 har alle dataansvarlige været forpligtet til at anmelde brud på persondatasikkerheden til Datatilsynet. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet. Forpligtelsen er udtryk for databeskyttelsesforordningens fokus på ansvarlighed og har til formål at tilvejebringe gennemsigtighed og især at sikre, at dataansvarlige reagerer, når der opstår et brud på persondatasikkerheden.
Datatilsynet har modtaget mange anmeldelser af brud på persondatasikkerheden. De mange anmeldelser har givet Datatilsynet et godt indblik i, hvilke udfordringer virksomheder og myndigheder står over for. Herudover har anmeldelserne givet Datatilsynet mulighed for at følge med i – og sikre sig – at virksomhederne og myndighederne håndterer bruddet og begrænser bruddets mulige skadevirkninger.
Datatilsynet har på ovennævnte baggrund besluttet at føre tilsyn med, om offentlige myndigheder og private virksomheder anmelder de brud på persondatasikkerheden, som de skal. Datatilsynet vil føre tilsyn med fem private virksomheder og 10 offentlige myndigheder.
Databeskyttelsesrådgiverfunktionen hos kommunerne
Databeskyttelsesforordningen stiller krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en databeskyttelsesrådgiver (kaldes ofte også DPO, som er den engelske forkortelse for Data Protection Officer).
Databeskyttelsesrådgiverens funktion er bl.a. at understøtte, at myndigheden eller virksomheden overholder databeskyttelsesreglerne. Herudover har databeskyttelsesrådgiveren en særlig stilling i forhold til Datatilsynet, idet databeskyttelsesrådgiveren er kontaktled til og skal samarbejde med Datatilsynet.
I efteråret 2018 førte Datatilsynet tilsyn med, hvorvidt offentlige myndigheder og en række private virksomheder havde udpeget en databeskyttelsesrådgiver og meddelt dennes kontaktoplysninger til Datatilsynet. Tilsynene forventes afsluttet i løbet af de næste par måneder.
Som bl.a. opfølgning på disse tilsyn har Datatilsynet besluttet, at en række tilsyn i første halvår af 2019 skal fokusere på forskellige temaer omkring kommunernes databeskyttelsesrådgivere. Datatilsynet har valgt at opdele tilsynene i to grupper.
Den ene gruppe af tilsyn vil fokusere på kommuner, som deler databeskyttelsesrådgiver med andre kommuner. Her vil fokus navnlig være på databeskyttelsesrådgiverens ressourcer, opgaver og faglige kvalifikationer.
Den anden gruppe af tilsyn vil fokusere på kommuner, som har tilkøbt sig ydelsen hos et advokatselskab. Her vil fokus navnlig være på, om databeskyttelsesrådgiveren løser de opgaver, som forordningen forudsætter, ligesom fokus vil være på medarbejders og de registreredes adgang til databeskyttelsesrådgiveren.
Kryptering af e-mails hos private virksomheder
I sommeren 2018 sendte Datatilsynet en udmelding ud om, at det efter tilsynets opfattelse normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. Datatilsynet meldte samtidig ud, at tilsynet ikke ville håndhæve ovennævnte udmelding før efter den 1. januar 2019, da det i den private sektor ville kræve noget tilpasning at indrette sig i overensstemmelse med denne udmelding.
Datatilsynet har besluttet at føre tilsyn med to advokatkontorer, et revisionsfirma og en fagforening.
Autorisation af medarbejdere hos kommunerne
Der behandles i landets kommuner personoplysninger i stort omfang, herunder også fortrolige og følsomme oplysninger. For at opfylde databeskyttelsesforordningens krav til behandlingssikkerhed, skal kommunerne gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til karakteren af den pågældende behandling, dens omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Et passende sikkerhedsniveau hos kommunerne vil efter Datatilsynets opfattelse bl.a. kræve, at kommunerne har autorisationsordninger, hvorefter kommunernes medarbejdere kun har adgang til de oplysninger, som de har behov for. Ligeledes vil kommunerne skulle føre løbende kontrol med autorisationerne.
Datatilsynet har besluttet at kigge på dette tema hos kommunerne i første halvår af 2019.
Den registreredes indsigtsret
Den registrerede har ret til at få indsigt i personoplysninger, som behandles om vedkommende.
Retten til indsigt giver den registrerede mulighed for at få indblik i, om der behandles oplysninger om vedkommende og også at kontrollere en eventuel behandlings lovlighed.
Datatilsynet har besluttet at sætte fokus på indsigtsretten i første halvår af 2019 og vil føre tilsyn med tre offentlige myndigheder og tre private virksomheder.
Brug (og genbrug) af data i den kommunale forvaltning
Datatilsynet har besluttet at føre tilsyn med kommuners eventuelle (gen)brug af data til automatiserede beslutninger og vurderinger. Datatilsynet vil bl.a. kigge på behandlingshjemmel og hvorvidt (gen)brugen af data er forenelig med det oprindelige formål. Herudover vil Datatilsynet fokusere på brugen af algoritmer og scoringsmekanismer i forhold til den foretagne behandling.
Private virksomheders aggregering og sammenstilling af data til brug for videresalg
Der er stor bevågenhed omkring kommerciel brug af data, og flere virksomheder har profileret sig på at aggregere og sammenstille data til brug for videresalg.
Datatilsynet følger denne udvikling nøje og har valgt i første halvår af 2019 at sætte fokus på temaet og besluttet at føre tilsyn med en privat virksomhed, som udbyder disse services.
Datatilsynets tilsyn vil omfatte flere forskellige problemstillinger, som er relevante for denne type virksomhed, herunder aggregering og sammenstilling af data, fortsat ”anonymitet” for de registrerede, brug af algoritmer og scoringsmekanismer til de foretagne behandlinger. Herudover vil Datatilsynet fokusere på de registreredes muligheder for at udøve deres rettigheder.
Vil du vide mere?
Datatilsynet forventer at offentliggøre temaerne for de planlagte tilsyn for resten af 2019 til sommer.
Du kan læse mere om vores tilsynsvirksomhed her.
Er du journalist, er du velkommen til at kontakte Datatilsynets presseansvarlige Anders Due på tlf. 40 41 30 23 eller ad@datatilsynet.dk.