Datatilsynets fokusområder for andet halvår 2019

Datatilsynet har for nylig offentliggjort, hvilke områder tilsynsbesøgene i andet halvår af 2019 vil fokusere på.

Tilsynsbesøgene har tidligere fokuseret på bl.a. sletning af personoplysninger, hvor den manglende iagttagelse af dette har ført til bødeindstillinger i millionklassen.

Tilsynene i andet halvår vil fokusere på følgende områder:

  • Databehandlere
  • Den daglige overvågning
  • Databeskyttelse i forbindelse med ansættelsesforhold
  • Automatiske afgørelser og profilering

Pkt. 1-3 er særlig interessant for hovedparten af erhvervsvirksomheder.

1. Databehandlere

Datatilsynet har under dette punkt fokus på behandlingssikkerhed og brug af underdatabehandlere.

Det første en virksomhed skal gøre sig klart, før der behandles personoplysninger, er, hvorvidt virksomheden er dataansvarlig eller databehandler, da ansvaret for behandlingen i udgangspunktet påhviler den dataansvarlige.

Databehandleren har dog også en række forpligtelser, hvor dennes behandling skal være underlagt en passende grad af behandlingssikkerhed. Såfremt der sker brug af underdatabehandlere, skal databehandleren sørge for, at underdatabehandleren følger de samme beskyttelseskrav som fremgår af databehandleraftalen mellem den dataansvarlige og databehandleren.

2. Den daglige overvågning

Datatilsynet har under dette punkt bl.a. særlig fokus på kontrolforanstaltninger i forhold til medarbejdere og kunders købshistorik, herunder særligt om virksomheden opfylder sin oplysningspligt.

Der vil derudover være særlig fokus på, hvor længe virksomheden opbevarer oplysninger. Dette punkt har en nær tilknytning til virksomhedernes slettepolitik.

Det er vigtigt for en virksomhed at gøre sig klart, hvilket lovligt grundlag virksomheden har for at behandle personoplysningerne. Det er derudover vigtigt, at virksomheden ikke opbevarer oplysninger længere end nødvendigt.

3. Databeskyttelse i forbindelse med ansættelsesforhold

Datatilsynet har under dette punkt fokus på sletning af oplysninger indsamlet i forbindelse med rekruttering og kontrolforanstaltninger i forhold til medarbejdere.

Stort set alle virksomheder behandler personoplysninger i forbindelse med rekruttering, både til opfordrede og uopfordrede ansøgninger.

Det er derfor vigtigt for virksomheden, at den iagttager sin oplysningspligt over for den registrerede. Det er i den forbindelse vigtigt at nævne, at oplysningspligten i udgangspunktet ikke kan løftes ved at have oplysningerne liggende på en hjemmeside, intranet eller lignende, som den registrerede selv skal finde.

--oOo--

Hvis du som virksomhed er i tvivl om, hvorvidt du er forberedt til et tilsynsbesøg af Datatilsynet, er du velkommen til at kontakte advokat og partner Mikkel Kleis.