SecurityWorldMarket

26-09-2018

Datatilsynet har en plan

Datatilsynets direktør Cristina Gulisano.

GDPR har nu været i kraft i knap fire måneder, og i den forbindelse har Datatilsynet meldt ud, hvad man vil føre tilsyn med i løbet af resten af året.

Når det gælder de planlagte tilsyn, har Datatilsynet indtil udgangen af i år valgt at fokusere på følgende temaer:

Behandlingsgrundlag og persondatasikkerheden hos private virksomheder.

Sletning af personoplysninger hos private virksomheder.

Anvendelse af databehandlere hos kommunerne.

Persondatasikkerheden i større it-systemer på sundhedsområdet.

Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder.

Udarbejdelse af en fortegnelse hos kommunerne.

De registreredes rettigheder efter retshåndhævelsesloven.

Databehandlingsaktiviteter i forhold til en række EU-informationssystemer.

Nedenfor følger en nærmere redegørelse for nogle af de områder, der har betydning for private virksomheder, og som I derfor bør være opmærksomme på i de kommende måneder.

Behandlingsgrundlag og persondatasikkerheden hos private virksomheder

I tiden frem mod den 25. maj 2018, hvor databeskyttelsesforordningen begyndte at finde anvendelse i Danmark og resten af EU, og hvor den danske databeskyttelseslov samtidig afløste persondataloven, oplevede tusindvis af danskere at få fyldt deres indbakker med e-mails fra navnlig private virksomheder, der under henvisning til de nye databeskyttelsesregler enten bad om et (fornyet) samtykke til fortsat at kunne behandle personoplysninger eller gerne ville orientere om indholdet af deres persondatasikkerhedspolitik. Spørgsmålet er imidlertid, om indholdet af disse e-mails i alle tilfælde var og er i overensstemmelse med databeskyttelsesreglerne og anden relevant lovgivning som f.eks. markedsføringsloven.

Undersøgelse af datingsite og kundeklubber

Datatilsynet har derfor besluttet – i et samarbejde med Forbrugerombudsmanden – at undersøge dette nærmere hos en række private virksomheder. Fokus vil især være rettet mod en datingside og et par kundeklubber hos private virksomheder.

Sletning af personoplysninger i private virksomheder

Ét af de grundlæggende principper for behandling af personoplysninger i databeskyttelsesforordningen er, at virksomheder ikke må behandle personoplysninger længere end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Det vil med andre ord sige, at når personoplysningerne ikke længere er nødvendige for virksomheden, skal denne sørge for, at oplysningerne slettes. Reglen bidrager til at sikre mod en unødvendig ophobning af oplysninger. En sådan ophobning indebærer nemlig principielt altid en vis forøget risiko for krænkelse af de registrerede, f.eks. ved at oplysninger kommer uvedkommende i hænde.

Sletning af oplysninger har været et stort tema i perioden op til 25. maj i år. Datatilsynet ønsker derfor at følge op på, om private virksomheder har fået styr på deres sletterutiner, således at de sletter personoplysninger, når der ikke længere er grundlag for at opbevare dem. Datatilsynet har, for at kontrollere dette, besluttet at føre tilsyn med sletning hos en hotelkæde, en møbelkæde og et taxaselskab.

Udpegning af databeskyttelsesrådgiver

Databeskyttelsesforordningen stiller krav om, at alle offentlige myndigheder og visse private virksomheder skal udpege en databeskyttelsesrådgiver (kaldes ofte også DPO, som er den engelske forkortelse for Data Protection Officer). Efter forordningen skal den dataansvarlige eller databehandleren endvidere offentliggøre kontaktoplysninger for databeskyttelsesrådgiveren og meddele disse til Datatilsynet.

Datatilsynet besluttede, at der skal føres tilsyn med, om alle offentlige myndigheder og en række private virksomheder har udpeget en databeskyttelsesrådgiver og meddelt kontaktoplysninger på denne til Datatilsynet.


Tags


Leverandører
Tilbage til toppen