Særlige fokusområder for Datatilsynets tilsynsaktiviteter i 2021

Datatilsynet har netop offentliggjort sin tilsynsplan for 2021 med en liste over de områder, som Datatilsynet vil fokusere på i 2021. Det vil derfor være hensigtsmæssigt at have særlig fokus på disse temaer, når det er tid til at give GDPR-procedurerne i jeres virksomhed et eftersyn.
Nyhed
GDPR

Datatilsynet er den centrale myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Når Datatilsynet i løbet af året fører tilsyn af egen drift (dvs. de planlagte tilsyn, som Datatilsynet selv iværksætter), har de netop offentliggjort, at de vil have fokus på følgende områder:

Behandling af personoplysninger om hjemmesidebesøgende

I Datatilsynets vejledning fra februar 2020 var der fokus på behandling af personoplysninger om hjemmesidebesøgende. For at fastholde fokus på dette område vil Datatilsynet iværksætte tilsyn på området.

Persondatasikkerhed

Datatilsynet modtog i 2020 næsten 9000 anmeldelser om brud på persondatasikkerheden. Datatilsynet har på den baggrund identificeret en række områder, hvor risikoen for manglende efterlevelse af GDPR-reglerne opleves at være størst.

Datatilsynet vil derfor i 2021 føre tilsyn med sikkerheden inden for:

  • Adgangs- og rettighedsstyring
  • Anvendelse af personoplysninger i forbindelse med IT-udvikling og test
  • Håndtering af personoplysninger som ”tages ud af” dertil indrettede IT-systemer, fx på bærbare elektroniske medier eller på papir
  • Hvorvidt brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne

Kontrol med databehandlere

Myndigheder og virksomheder er dataansvarlige og kan overlade behandlingen af personoplysninger til andre aktører, herunder til databehandlere. De enkelte dataansvarlige har en forpligtelse til at føre kontrol med databehandlerne, og tilsvarende har databehandleren en selvstændig forpligtelse til at leve op til reglerne i GDPR-lovgivningen. I praksis oplever Datatilsynet ofte brud på persondatasikkerheden hos databehandlere. På den baggrund har Datatilsynet siden 2016 løbende haft fokus på kontrol med databehandlere.

Overførsel af personoplysninger til tredjelande

Når myndigheder eller virksomheder overfører personoplysninger til lande uden for EU/EØS, skal der foreligge et såkaldt ”overførselsgrundlag”, hvilket har til formål at sikre, at databeskyttelsesreglerne fortsat overholdes, når oplysningerne forlader EU. I juli 2020 fastslog EU-Domstolen i den meget omtalte ”Schrems II-afgørelse”, at man som dataeksportør (”dataansvarlig”) er forpligtet til at sikre et tilsvarende beskyttelsesniveau i tredjelandet. EU-domstolen fandt samtidig, at EU-US Privacy Shield-ordningen ikke udgør et tilstrækkeligt beskyttelsesniveau for dataoverførsler til USA, og derfor er ugyldig. Derfor har Datatilsynet i 2021 besluttet at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.

Tilladelser til at føre kreditoplysningsbureau, advarselsregistre og spærrelister

Kreditoplysningsbureauer kan, såfremt de opfylder en række nærmere fastsatte vilkår, få tilladelse fra Datatilsynet til at behandle personoplysninger med henblik på videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed i erhvervsmæssig henseende. Datatilsynet vil i 2021 føre tilsyn med kreditbureauernes overholdelse af de vilkår som er fastsat for behandlingen af personoplysningerne. Datatilsynet vil derudover føre tilsyn med, om vilkårene i forbindelse med tilladelser til at føre advarselsregistre og spærrelister bliver overholdt.

Inkassobureauers oplysningspligt og sletning

Datatilsynet vil føre tilsyn med en række inkassobureauers håndtering af reglerne om den dataansvarliges oplysningspligt. Datatilsynet vil ligeledes føre tilsyn med inkassobureauernes opbevaring af oplysninger, herunder håndtering af og procedurer for sletning af personoplysninger. 

Pengeinstitutters procedure for indsigtsanmodninger

Datatilsynet planlægger at føre tilsyn med en række pengeinstitutters procedurer for håndtering af registreredes ret til indsigt i de oplysninger, som behandles om de registrerede.

Tv-overvågning

Med den seneste ændring af tv-overvågningsloven den 1. juli 2020 har Datatilsynet i 2021 besluttet at føre tilsyn med en række private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning.

Andre fokusområder inkluderer:

  • Myndigheders videregivelse af personnumre
  • Databehandling i forbindelse med forskning
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (politiets indsamling og behandling af passagerlisteoplysninger)
  • Myndigheders behandling af personoplysninger i henhold til retshåndhævelsesloven

Du kan læse mere om ovenstående fokusområder på Datatilsynets hjemmeside her.

Er din virksomhed godt forberedt, hvis Datatilsynet banker på?

Har du brug for rådgivning om GDPR eller brug for hjælp til at sikre, at din virksomhed overholder reglerne, så kontakt Lund Elmer Sandagers GDPR-specialister associeret partner, advokat Torsten Hylleberg eller advokat Anders Linde Reislev, der rådgiver om alle aspekter af persondatalovgivningen.