Datatilsynet har for nylig offentliggjort, hvilke områder man vil fokusere særligt på i 2021 i forbindelse med sine tilsynsaktiviteter.
I det følgende kan du læse mere om udvalgte fokusområder. Læs her mere om alle Datatilsynets fokusområder for 2021.
Inkassobureauers oplysningspligt og sletning
I 2021 vil Datatilsynet blandt andet have fokus på, om inkassobureauers behandling af personoplysninger følger persondataforordningens grundlæggende princip om, at behandling skal ske på en rimelig og gennemsigtig måde.
Mere konkret betyder det, at Datatilsynet vil føre tilsyn med iagttagelsen af oplysningspligten, håndtering af indsigtsanmodninger samt procedurer for sletning af unødvendige personoplysninger.
Pengeinstitutters procedure for håndtering af indsigtsanmodninger
Datatilsynet vil endvidere have fokus på, hvilke procedurer der er for håndtering af de registreredes ret til indsigt i personoplysninger. Dette fokusområde er som udgangspunkt begrænset til at omhandle pengeinstitutter.
Tv-overvågning
På baggrund af ændringen af tv-overvågningsloven, der trådte i kraft den 1. juli 2020, vil Datatilsynet også påse både private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning.
Lovændringen har blandt andet medført, at der nu er mere lempelige rammer for, hvilke områder det er tilladt at overvåge. Dette indebærer blandt andet en lempelse af, hvornår kommuner kan foretage overvågning af områder, som ligger i tilknytning til en restaurationsvirksomhed, og som benyttes til almindelig færdsel.
Datatilsynets tilsyn med behandling af personoplysninger i forbindelse med tv-overvågning vil formentlig inkludere spørgsmål om rettidig sletning, efterlevelse af oplysningsforpligtelsen samt den dataansvarliges muligheder for at efterleve indsigtsanmodninger uden at kompromittere andre fysiske personers personoplysninger.
Myndigheders videregivelse af personnumre til borgere
Der har i løbet af det seneste år været flere sager, hvor sagsbehandling hos visse offentlige myndigheder har medført, at borgeres personnumre er videregivet til andre borgere. Som et udslag af dette vil Datatilsynet have fokus på, i hvilket omfang og på hvilken måde videregivelse af borgernes personoplysninger sker i forbindelse med myndigheders sagsbehandling.
Behandling af personoplysninger om hjemmesidebesøgende (cookies)
Datatilsynet udgav i februar 2020 en ny vejledning om behandling af personoplysninger om hjemmesidebesøgende. Datatilsynet har allerede i 2020 haft fokus på dette område og iværksat flere undersøgelser af egen drift, og Datatilsynet udtaler nu, at der fortsat vil være fokus på dette område i 2021. I praksis betyder dette blandt andet et fokus på, om virksomheder indhenter gyldigt samtykke til placering af cookies, som medfører indsamling af personoplysninger.
Persondatasikkerhed, inkl. brud på persondatasikkerheden
Med udgangspunkt i, hvilke typer sikkerhedsbrud der generelt er blevet anmeldt til Datatilsynet i 2020, vil Datatilsynet i 2021 have særligt fokus på de områder, der især volder problemer ift. overholdelse af databeskyttelsesreglerne, og hvor der er størst risiko for utilstrækkelig sikkerhed.
De anmeldte sikkerhedsbrud i 2020 relaterer sig primært til:
- adgangs- og rettighedsstyring,
- anvendelse af personoplysninger ved it-udvikling og test heraf,
- håndtering af personoplysninger, der trækkes ud af de it-systemer, hvori de ellers ”hører hjemme”, fx ved print på papir eller overførsel til bærbart udstyr, og
- håndtering og anmeldelse af sikkerhedsbrud i overensstemmelse med reglerne.
Kontrol med databehandlere
Som dataansvarlig har man overordnet set ansvaret for sine databehandleres behandlingsaktiviteter, og man er som dataansvarlig derfor forpligtet til at føre kontrol med, om databehandleren overholder den dataansvarliges instrukser og de databeskyttelsesretlige regler.
Dette er et område, som Datatilsynet ikke tidligere har haft fokus på. Datatilsynet vil derfor have dataansvarliges kontrol med deres databehandlere som fokusområde for 2021.
Overførsel af personoplysninger til tredjelande
EU-Domstolen har med Schrems II-afgørelsen fastslået, at man som eksportør af personoplysninger til et usikkert tredjeland eller en international organisation er forpligtet til at sikre, at databeskyttelsen ”følger med” personoplysningerne, når disse overføres til det pågældende tredjeland eller den internationale organisation. Det vil sige, beskyttelsesniveauet skal være ens, uanset hvor personoplysningerne befinder sig.
Som følge af denne afgørelse vil Datatilsynet i 2021 fokusere på, om virksomheder og offentlige myndigheder følger reglerne, når/hvis de overfører personoplysninger til tredjelande eller internationale organisationer.
Læs også denne artikel og få vores vurdering af Schrems II-afgørelsen
Læs også vores artikel om Det Europæiske Databeskyttelsesråds anbefalinger her.
PNR-loven og retshåndhævelsesloven
PNR-loven omhandler luftfartsselskabernes passagerlisteoplysninger, og i hvilket omfang politiet kan indsamle disse. Datatilsynets tilsynsaktiviteter for 2021 vil indebære en kontrol af, om Rigspolitiet overholder PNR-loven.
Retshåndhævelsesloven gælder for behandling af personoplysninger, når behandlingen sker med henblik på efterforskning m.v. af strafbare forhold eller fuldbyrdelse af strafferetlige sanktioner.
Datatilsynet fører i den forbindelse tilsyn med de retshåndhævende myndigheders behandling af personoplysninger omfattet af retshåndhævelsesloven.
CLEMENS Advokatfirmas bemærkninger
Hos CLEMENS Advokatfirma holder vi løbende øje med udviklingen af de mange problemstillinger og situationer, hvor databeskyttelse er relevant.
Har du spørgsmål eller brug for hjælp til at sikre, at du iagttager de gældende regler, når du behandler personoplysninger, så tag endelig fat i vores persondataretlige team.