Datatilsynet har nu offentliggjort oversigten over gennemførte tilsyn

Datatilsynet har offentliggjort en oversigt over de planlagte tilsyn, de har gennemført siden den 25. maj 2018. I denne nyhed kan du læse mere om, hvor tilsynene blev ført, og hvilke temaer Datatilsynet havde særligt fokus på under tilsynene.

I oversigten står der, at Datatilsynet har gennemført tilsyn af behandlingssikkerheden hos Region Hovedstaden og Region Sjælland i relation til Sundhedsplatformen. Derudover har Datatilsynet ført tilsyn af flere private virksomheders sletning af personoplysninger. 

Datatilsynet har også gennemført juridiske tilsyn hos Den Uafhængige Politiklagemyndighed, Auditørkorpset, flere kommuner og private virksomheder.


Bredt spekter af tilsyn

Der har tilsyneladende ikke kun været ført nationale tilsyn de seneste syv måneder. Også Schengen Informations System og Visa Informations System har været genstand for Datatilsynets undersøgelser. Samtidig har databeskyttelsesforordningens krav til at udpege en databeskyttelsesrådgiver været et punkt på listen over tilsyn, som Datatilsynet har ført. Netop denne type tilsyn er blevet ført hos alle departementer, kommuner og regioner og hos seks privathospitaler.
 

Læs den fulde liste over Datatilsynets gennemførte tilsyn. 

Datatilsynet vælger årligt en række temaer, som de har fokus på under deres planlagte tilsyn. Datatilsynets temaer for 2018 var:


  • Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
  • Sletning af personoplysninger hos private virksomheder
  • Anvendelse af databehandlere hos kommunerne
  • Persondatasikkerheden i større IT-systemer på sundhedsområdet
  • Udpegning af databeskyttelsesrådgiver hos offentlige myndigheder og en række private virksomheder
  • Udarbejdelse af en fortegnelse hos kommunerne
  • De registreredes rettigheder efter retshåndhævelsesloven 
  • Databehandlingsaktiviteter i forhold til en række EU-informationssystemer.

Nedenfor gennemgår vi tre særlige fokusområder.
 

Behandlingsgrundlag og persondatasikkerheden hos private virksomheder

I tiden op mod den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse, modtog mange borgere i Danmark e-mails fra virksomheder, der henviste til de nye databeskyttelsesregler. På den baggrund ville de orientere om indholdet af deres persondatapolitik og/eller bede om et fornyet samtykke til fortsat at behandle modtagerens personoplysninger. 


Datatilsynet har valgt at fokusere på, om indholdet af disse e-mails var i overensstemmelse med databeskyttelsesforordningen og anden relevant lovgivning, eksempelvis markedsføringsloven. Datatilsynet har derfor indgået et samarbejde med forbrugerombudsmanden om at undersøge e-mailene i forhold til, om afsenderne overholdt både databeskyttelsesreglerne og markedsføringsreglerne.

Sletning af personoplysninger hos private virksomheder

Datatilsynet har haft fokus på, at private virksomheder skal indføre rutiner for sletning af personoplysninger. Det er et grundlæggende princip efter databeskyttelsesforordningen, at personoplysninger ikke må opbevares længere, end det er nødvendigt. Ophobning af personoplysninger kan nemlig i sig selv udgøre en risiko for at krænke de registreredes rettigheder, eksempelvis ved at oplysningerne kommer uvedkommende i hænde. Princippet forpligter derfor virksomhederne til at sikre, at personoplysninger bliver slettet, når opbevaring ikke længere er nødvendig. 

Udpegning af databeskyttelsesrådgiver hos myndigheder og virksomheder

Ifølge databeskyttelsesforordningen skal alle offentlige myndigheder og visse private virksomheder udpege en databeskyttelsesrådgiver. Også dette krav har Datatilsynet haft fokus på under deres tilsyn.
 

Databeskyttelsesrådgiverens kontaktoplysninger skal meddeles til Datatilsynet og offentliggøres. Det er vigtigt, at de pågældende myndigheder og virksomheder følger op på dette krav, da databeskyttelsesrådgiveren fungerer som bindeled mellem virksomheden/myndigheden, Datatilsynet og de registrerede.
 

Læs mere om baggrunden for de enkelte temaer.