Generelt om tilsyn

En vigtig opgave for Datatilsynet er at føre tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder reglerne i databeskyttelsesforordningen, databeskyttelsesloven og retshåndhævelsesloven mv.

Datatilsynets tilsyn kan overordnet opdeles i to typer af tilsyn:

  1. Planlagte tilsyn – dvs. tilsyn, der iværksættes som led i Datatilsynets årlige tilsynsplanlægning og
  2. Ad hoc tilsyn – dvs. tilsyn, der iværksættes som følge af konkrete hændelser.

I forhold til de planlagte tilsyn, da udarbejder Datatilsynet med passende intervaller såkaldte ”tilsynsstrategier”, hvor tilsynet fastsætter rammerne for sin tilsynsvirksomhed. Herudover udarbejder Datatilsynet årlige oversigter over planlagte tilsyn, hvor der tages stilling til, hvilke emner og hvilke typer dataansvarlige mv., der skal føres tilsyn med. Ved udvælgelsen af emner og typer dataansvarlige mv. fokuseres der typisk på behandlinger af personoplysninger, som bl.a. på grund af deres omfang eller formål kan indebære en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, samt på behandlinger, som indebærer brug af ny teknologi.

Ad hoc tilsyn er typisk sager – som Datatilsynet bliver opmærksom på selv, eller hvor vi får tips fra borgere og/eller pressen – og hvor Datatilsynet skønner, at forholdet er så alvorligt, at tilsynet skal indlede en sag af egen drift mod en dataansvarlig eller databehandler.

Når Datatilsynet udfører sine tilsyn, har tilsynet overordnet set to værktøjer til sin rådighed: 1) Datatilsynet kan kræve enhver oplysning, der er af betydning for tilsynets virksomhed (oplysningsindsamling) og 2) Datatilsynet har ret til – uden retskendelse – at kræve adgang til alle lokaler, hvor der foretages behandling af personoplysninger (tilsynsbesøg).

I praksis benytter Datatilsynet sig af begge værktøjer, og værktøjerne kan også benyttes i kombination, således at Datatilsynet f.eks. kræver svar på nogle spørgsmål forud for et egentligt tilsynsbesøg.