Planlagte tilsyn for andet halvår af 2019

Dato: 02-07-2019

I de planlagte tilsyn for andet halvår af 2019 vil Datatilsynet fokusere på fire overordnede temaer, nemlig databehandlere, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret og spænder fra at vejlede og rådgive til at behandle klagesager og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige typer af tilsyn hos myndigheder og virksomheder og deltager i bl.a. det fælles europæiske samarbejde om databeskyttelse.

Når det gælder de forskellige typer af tilsyn, så foretager Datatilsynet hvert år et antal planlagte tilsyn, hvor vi i første omgang finder frem til, hvilke temaer og myndigheder/virksomhedsbrancher tilsynene skal dække, og herefter finder vi så frem til de enkelte dataansvarlige, som skal være genstand for vores tilsyn. Vi tager hvert år også altid et antal ekstra sager op på eget initiativ (ad hoc-tilsyn) som følge af konkrete hændelser.

Temaer

Når det gælder de planlagte tilsyn, har Datatilsynet i andet halvår af 2019 valgt at fokusere på følgende fire temaer:

  • Databehandlere
  • Den daglige overvågning
  • Databeskyttelse i forbindelse med ansættelsesforhold
  • Automatiske afgørelser og profilering

Under hvert tema har Datatilsynet valgt at fokusere på en række underemner.

Databehandlere

Datatilsynet har længe haft fokus på de dataansvarliges brug af databehandlere. Reglerne om databeskyttelse stiller imidlertid også en række nye selvstændige krav til databehandlerne. Derfor har Datatilsynet valgt at sætte fokus på dette område i efteråret 2019.

Datatilsynet har i den forbindelse valgt at særligt fokusere på følgende emner:

  • Behandlingssikkerhed
  • Brug af underdatabehandlere

Databehandleren skal nemlig – ligesom den dataansvarlige – sørge for at gennemføre passende tekniske og organisatoriske foranstaltninger.

Herudover skal databehandleren – hvis denne gør brug af underdatabehandlere – sørge for at pålægge underdatabehandlerne de samme databeskyttelseskrav som dem, der fremgår af databehandleraftalen mellem den dataansvarlige og databehandleren. Det er således i udgangspunktet databehandleren, der sikrer indgåelsen af en underdatabehandleraftale.

Databehandleren må heller ikke gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige og skal i tilfælde af en generel godkendelse underrette den dataansvarlige om eventuelle planlagte ændringer og give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Endelig vil det typisk være databehandleren, som fører tilsyn med underdatabehandlerne.

Datatilsynet har besluttet at føre tilsyn med et antal leverandører til både den offentlige og den private sektor. 

Den daglige overvågning

Borgernes daglige færden overvåges i stadig stigende grad.

Datatilsynet har derfor valgt i andet halvår af 2019 at se nærmere på den daglige overvågning med fokus på følgende emner:

  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?
    (indgår også under temaet ”databeskyttelse i forbindelse med ansættelsesforhold”).
  • Kunders købshistorik - opfylder virksomheden oplysningspligten, og hvor lang tid opbevares oplysningerne?
  • Kunders rejsehistorik - opfylder virksomheden oplysningspligten, og hvor lang tid opbevares oplysningerne?
  • Automatisk nummerpladegenkendelse i indkøbscentre – behandlingshjemmel, oplysningspligt og sletning.
  • De udvalgte områder omfatter således kontrol på arbejdspladsen, forbrugsmønstre, brug af offentlig transport og brug af privat transport (parkering).

Når den dataansvarlige indsamler personoplysninger om medarbejdere, kunder osv., skal den dataansvarlige give medarbejderne og kunderne en række oplysninger. Dette er med til at skabe åbenhed omkring behandlingen og mulighed for, at medarbejderne og kunderne kan bede om indsigt i, hvilke oplysninger der behandles om dem og mulighed for at kræve, at urigtige oplysninger slettes, berigtiges m.v. Herudover skal den dataansvarlige sikre sig, at de indsamlede personoplysninger ikke opbevares længere end nødvendigt, ligesom den dataansvarlige skal have hjemmel til at behandle oplysningerne. 

Databeskyttelse i forbindelse med ansættelsesforhold

Databeskyttelse i forbindelse med ansættelsesforhold er et komplekst område, hvor bl.a. de overordnede databeskyttelsesretlige regler, ansættelsesretlige regler samt kollektive overenskomster og aftaler har betydning for de behandlinger af personoplysninger, der sker på arbejdspladser og i fagforeninger, mv.

Såvel offentlige som private arbejdsgivere behandler en stor mængde personoplysninger om ansøgere i forbindelse med rekruttering og om medarbejdere, både under ansættelsen og efter ansættelsens ophør. Tilsvarende behandler faglige organisationer og tillidsrepræsentanter personoplysninger om både deres medlemmer og andre medarbejdere på arbejdspladsen. Hertil kommer, at der i vidt omfang udveksles oplysninger mellem de enkelte aktører.

Datatilsynet har derfor valgt i andet halvår af 2019 at se nærmere på dette område og har i den forbindelse valgt at fokusere på følgende emner:

  • Sletning af oplysninger indsamlet i forbindelse med rekruttering.
  • Kontrolforanstaltninger i forhold til medarbejdere – opfylder arbejdsgiver oplysningspligten?

De udvalgte områder dækker over det kommunale område, staten, den private sektor og en velgørende organisation

Dataansvarlige myndigheder og virksomheder kan læse mere om problemstillingerne i afsnit 5.3 og afsnit 7.0 i Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold, som kan læses her.

Automatiske afgørelser og profilering

Automatiske afgørelser, herunder profilering, er blevet mere almindeligt, og sådanne afgørelser kan have store konsekvenser for de personer, som afgørelserne og profileringen retter sig mod. På den baggrund har Datatilsynet i første omgang besluttet sig for at kigge på bank- og forsikringsbranchens anvendelse heraf samt overholdelsen af de særlige krav hertil, jf. databeskyttelsesforordningens artikel 22. Tilsynet dækker således over emnet:

  • Overholdelse af reglerne om brug af individuelle automatiske afgørelser, herunder profilering.

Datatilsynet har i første omgang valgt at føre tilsyn med denne form for behandling af personoplysninger hos et forsikringsselskab og hos en bank. 

Vil du vide mere?

Du kan læse mere om vores tilsynsvirksomhed her.