Datatilsynet har offentliggjort sine tilsynsspørgeskemaer

10-2018

Datatilsynet har på sin hjemmeside offentliggjort de spørgeskemaer, der er benyttet på deres nylige tilsyn hos både private virksomheder og offentlige myndigheder. Få her et overblik over spørgsmålene.

Datatilsynet har den 8. oktober 2018 valgt at offentliggøre følgende tilsynsspørgeskemaer, som de indtil videre har benyttet på deres tilsyn:

  • Private virksomheder – DPO-tilsyn
  • Offentlige myndigheder – DPO-tilsyn
  • Behandlingshjemmel og sikkerhed
  • Behandlingshjemmel og sikkerhed (2)
  • Retshåndhævelse
  • Sletning

> Læs alle spørgekemaerne på Datatilsynets hjemmeside her

Datatilsynet understreger i forbindelse med offentliggørelsen, at virksomheder ikke kan bruge spørgeskemaerne som en afgrænset tjekliste, da spørgsmålene vil variere fra tilsyn til tilsyn, og at spørgeskemaerne revideres løbende.

Høj detaljeringsgrad

Helt overordnet er skemaernes detaljeringsgrad bemærkelsesværdig og kræver ganske stor indsigt i de lovtekniske krav bag GDPR-regelsættet. Endvidere er spørgeskemaet vedrørende sletning system-baseret, hvilket ikke helt er i tråd med Databeskyttelsesforordningens procesorienterede tilgang. Datatilsynet anmoder eksempelvis om en liste over alle de systemer, der anvendes til behandling af personoplysninger. De anmoder i den forbindelse organisationen om at beskrive en række tekniske procedurer i systemerne, herunder hvordan it-systemerne understøtter sletning af data, og hvordan organisationen sikrer, at slettede oplysninger ikke gendannes fra en back-up, der er taget, før de pågældende data er blevet slettet.

Datatilsynet anmoder endvidere om en beskrivelse af:

  • hvilke behandlinger, der finder sted i de enkelte systemer
  • hvilke typer af personoplysninger, der behandles i de enkelte systemer
  • hvilke slettefrister, der er fastsat for de personoplysninger, der bliver behandlet i de enkelte systemer
  • hvordan systemerne rent teknisk understøtter sletning på et specifikt tidspunkt
  • en beskrivelse af implementerede procedure for automatisk sletning 
  • hvordan det sikres, at en given personoplysning er slettet i alle de berørte systemer indenfor de fastlagte frister, og
  • hvorledes systemerne understøtter en log over sletning

Spørgeskemaet vedrørende behandlingshjemmel og sikkerhed

I dette spørgeskema bliver der spurgt ind til, hvorvidt den pågældende organisation kan dokumentere, at den registrerede f.eks. har givet samtykke til en behandling og oplyse, hvilken effekt det vil have på organisationen, hvis et samtykke til en behandling trækkes tilbage.

Spørgeskemaet indeholder endvidere et bemærkelsesværdigt spørgsmål, som stilles på vegne af Forbrugerombudsmanden. Datatilsynet anmoder således organisationen om at oplyse, om organisationen i perioden omkring den 25. maj 2018 udsendte information via f.eks. e-mail, hvori der blev forsøgt indhentet samtykke til elektronisk markedsføring, eller hvori modtageren blev oplyst, at denne ville modtage elektronisk markedsføring, hvis personen ikke reagerede.

Datatilsynet indhenter altså oplysninger på vegne af Forbrugerombudsmanden, som Forbrugerombudsmanden skal bruge til at vurdere, om den pågældende organisation har handlet i strid med markedsføringslovens § 10. Bestemmelsen indeholder et forbud mod uanmodede elektroniske henvendelser.

Spørgsmålet er relevant, da flere virksomheder i perioden frem til den 25. maj via e-mail bad om fornyet samtykke til at sende nyhedsbreve til sine modtagere, formentlig fordi de ikke var i stand til at dokumentere, at modtagerne tidligere har givet samtykke. Dette har dog beroet på en misforståelse og en sammenblanding af reglerne om samtykke i GDPR og markedsføringsloven og har resulteret i, at flere i denne periode overtrådte reglerne i markedsføringsloven, når de har henvendt sig til kunder via e-mail uden at kunne dokumentere, at kunden forinden har samtykket til henvendelsen.

Bird & Birds kommentarer

Datatilsynet lægger op til en høj detaljeringsgrad og kræver, at organisationer har indgående organisatorisk og teknisk indsigt i, hvordan kravene i databeskyttelseslovgivningen overholdes. Derfor er det vigtigt, at organisationer kan fremlægge dokumentation for deres overholdelse af samtlige krav. Det vides endnu ikke, om nogle af disse tilsyn vil resultere i bøder, og i så fald hvad bødeniveauet vil være.

Bird & Bird anbefaler, at alle organisationer tager disse tilsyn alvorligt og bruger de fornødne ressourcer på at sikre compliance med GDPR, bl.a. ved at gennemføre en kortlægning af organisationens behandlingsaktiviteter og på baggrund heraf få lukket de huller, der måtte være i forhold til reglerne, samt få udarbejdet den nødvendige dokumentation. Bird & Bird har indgående erfaring med at gennemgøre GDPR compliance-projekter og kan i tilfælde af, at en organisation underlægges tilsyn af Datatilsynet, rådgive og assistere virksomheden med at komme igennem tilsynet. Hvis du har nogle spørgsmål, er du velkommen til at kontakte Michael Gorm Madsen.

> Tilmeld dig vores nyhedsbrev og få de seneste nyheder, gode råd og invitationer til events