Særlige fokusområder for Datatilsynets tilsynsaktiviteter i 2021

Datatilsynet har netop offentliggjort sin tilsynsplan for 2021 med en liste over de områder, som Datatilsynet vil fokusere på i 2021. Det vil derfor være hensigtsmæssigt at have særlig fokus på disse temaer, når det er tid til at give GDPR-procedurerne i jeres virksomhed et eftersyn.
Nyhed
GDPR

Datatilsynet er den centrale myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Når Datatilsynet i løbet af året fører tilsyn af egen drift (dvs. de planlagte tilsyn, som Datatilsynet selv iværksætter), har de netop offentliggjort, at de vil have fokus på følgende områder:

Behandling af personoplysninger om hjemmesidebesøgende

I Datatilsynets vejledning fra februar 2020 var der fokus på behandling af personoplysninger om hjemmesidebesøgende. For at fastholde fokus på dette område vil Datatilsynet iværksætte tilsyn på området.

Persondatasikkerhed

Datatilsynet modtog i 2020 næsten 9000 anmeldelser om brud på persondatasikkerheden. Datatilsynet har på den baggrund identificeret en række områder, hvor risikoen for manglende efterlevelse af GDPR-reglerne opleves at være størst.

Datatilsynet vil derfor i 2021 føre tilsyn med sikkerheden inden for:

  • Adgangs- og rettighedsstyring
  • Anvendelse af personoplysninger i forbindelse med IT-udvikling og test
  • Håndtering af personoplysninger som ”tages ud af” dertil indrettede IT-systemer, fx på bærbare elektroniske medier eller på papir
  • Hvorvidt brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne

Kontrol med databehandlere

Myndigheder og virksomheder er dataansvarlige og kan overlade behandlingen af personoplysninger til andre aktører, herunder til databehandlere. De enkelte dataansvarlige har en forpligtelse til at føre kontrol med databehandlerne, og tilsvarende har databehandleren en selvstændig forpligtelse til at leve op til reglerne i GDPR-lovgivningen. I praksis oplever Datatilsynet ofte brud på persondatasikkerheden hos databehandlere. På den baggrund har Datatilsynet siden 2016 løbende haft fokus på kontrol med databehandlere.

Overførsel af personoplysninger til tredjelande

Når myndigheder eller virksomheder overfører personoplysninger til lande uden for EU/EØS, skal der foreligge et såkaldt ”overførselsgrundlag”, hvilket har til formål at sikre, at databeskyttelsesreglerne fortsat overholdes, når oplysningerne forlader EU. I juli 2020 fastslog EU-Domstolen i den meget omtalte ”Schrems II-afgørelse”, at man som dataeksportør (”dataansvarlig”) er forpligtet til at sikre et tilsvarende beskyttelsesniveau i tredjelandet. EU-domstolen fandt samtidig, at EU-US Privacy Shield-ordningen ikke udgør et tilstrækkeligt beskyttelsesniveau for dataoverførsler til USA, og derfor er ugyldig. Derfor har Datatilsynet i 2021 besluttet at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.

Tilladelser til at føre kreditoplysningsbureau, advarselsregistre og spærrelister

Kreditoplysningsbureauer kan, såfremt de opfylder en række nærmere fastsatte vilkår, få tilladelse fra Datatilsynet til at behandle personoplysninger med henblik på videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed i erhvervsmæssig henseende. Datatilsynet vil i 2021 føre tilsyn med kreditbureauernes overholdelse af de vilkår som er fastsat for behandlingen af personoplysningerne. Datatilsynet vil derudover føre tilsyn med, om vilkårene i forbindelse med tilladelser til at føre advarselsregistre og spærrelister bliver overholdt.

Inkassobureauers oplysningspligt og sletning

Datatilsynet vil føre tilsyn med en række inkassobureauers håndtering af reglerne om den dataansvarliges oplysningspligt. Datatilsynet vil ligeledes føre tilsyn med inkassobureauernes opbevaring af oplysninger, herunder håndtering af og procedurer for sletning af personoplysninger. 

Pengeinstitutters procedure for indsigtsanmodninger

Datatilsynet planlægger at føre tilsyn med en række pengeinstitutters procedurer for håndtering af registreredes ret til indsigt i de oplysninger, som behandles om de registrerede.

Tv-overvågning

Med den seneste ændring af tv-overvågningsloven den 1. juli 2020 har Datatilsynet i 2021 besluttet at føre tilsyn med en række private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning.

Andre fokusområder inkluderer:

  • Myndigheders videregivelse af personnumre
  • Databehandling i forbindelse med forskning
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (politiets indsamling og behandling af passagerlisteoplysninger)
  • Myndigheders behandling af personoplysninger i henhold til retshåndhævelsesloven

Du kan læse mere om ovenstående fokusområder på Datatilsynets hjemmeside her.

Er din virksomhed godt forberedt, hvis Datatilsynet banker på?

Har du brug for rådgivning om GDPR eller brug for hjælp til at sikre, at din virksomhed overholder reglerne, så kontakt Lund Elmer Sandagers GDPR-specialister associeret partner, advokat Torsten Hylleberg eller advokat Anders Linde Reislev, der rådgiver om alle aspekter af persondatalovgivningen.

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR