Planlagte tilsyn fra Datatilsynet i 2018

07-2018

Datatilsynet skal fremover foretage en række planlagte tilsyn hvert år med henblik på at sikre, at databeskyttelseslovgivningen bliver overholdt. Nu har tilsynsmyndigheden offentliggjort en tilsynsplan over, hvilke temaer man vil fokusere på indtil udgangen af 2018.

Generelt om Datatilsynets tilsyn

En central opgave for Datatilsynet er at føre tilsyn med, at myndigheder og virksomheder overholder databeskyttelseslovgivningen. Denne opgave består af to typer af tilsyn:

  1. Planlagte tilsyn, som er en del af Datatilsynets årlige tilsynsplanlægning, og
  2. Ad hoc tilsyn, som iværksættes på baggrund af konkrete hændelser.
    Datatilsynet udarbejder på årlig basis oversigter over de planlagte tilsyn. I disse oversigter tages der bl.a. stilling til hvilke temaer, der skal fokuseres på under tilsynene, og hvem der skal føres tilsyn med.

Fokus på behandlingsgrundlag og persondatasikkerhed

Datatilsynet har netop offentliggjort en tilsynsplan for resten af 2018 og har valgt at fokusere på følgende temaer:

  1. Behandlingsgrundlag og persondatasikkerheden hos private virksomheder, hvor Datatilsynet særligt vil fokusere på lovligheden af de e-mails som i tiden op til den 25. maj 2018 er blevet sendt af navnlig private virksomheder for at indhente (fornyet) samtykke til behandling af personoplysninger eller for at orientere om virksomhedens persondatapolitik. Ifølge tilsynsplanen vil der med dette tema føres tilsyn hos en datingside og et par kundeklubber hos private virksomheder.
     
  2. Sletning af personoplysninger hos private virksomheder, hvor Datatilsynet vil have fokus på sletterutiner af personoplysninger og om disse rutiner er blevet implementeret i organisationen. Datatilsynet vil med dette tema føre tilsyn hos en hotelkæde, en møbelkæde og et taxaselskab.
     
  3. Anvendelse af databehandlere hos kommunerne med fokus på, om der er indgået databehandleraftaler med alle kommunernes databehandlere, og om kommunerne fører tilsyn med deres databehandlere.
     
  4. Persondatasikkerheden i større it-systemer på sundhedsområdet, da der i disse it-systemer behandles flest særlige kategorier af personoplysninger (følsomme personoplysninger).
     
  5. Udpegning af en databeskyttelsesrådgiver (DPO). Alle offentlige myndigheder og visse private virksomheder er forpligtet til at udpege en DPO. Datatilsynet vil føre tilsyn med om alle offentlige myndigheder og en række offentlige virksomheder har udpeget en DPO og har meddelt dennes kontaktoplysninger til Datatilsynet.
     
  6. Udarbejdelse af en fortegnelse over databehandlingsaktiviteter hos kommunerne. Datatilsynet vil sikre, at kommunerne har de påkrævede fortegnelser.
     
  7. De registreredes rettigheder efter retshåndhævelsesloven. Retshåndhævelsesloven vedrører bl.a. politiets og anklagemyndighedens behandling af personoplysninger, når disse anvendes til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger. Datatilsynet vil undersøge om udvalgte myndigheder overholder reglerne om de registreredes rettigheder – fx oplysningspligten efter lovens § 13.
     
  8. Databehandlingsaktiviteter i forhold til en række EU-informationssystemer. Datatilsynet indgår som tilsynsmyndighed i en international sammenhæng, hvor tilsynet har ansvaret for at føre kontrol. Dette gælder fx visuminformationssystemet (VIS), hvor behandlingen af informationer om visumansøgeres fingeraftryk og ansigtsbilleder skal undersøges.

> Læs hele Datatilsynets tilsynsplan her