Tilsynsarbejdet ændres pga GDPR

I forbindelse med at EU's generelle databeskyttelsesforordning forventes vedtaget i starten af 2016 og derefter vil få virkning fra et tidspunkt i starten af 2018, har Datatilsynet påbegyndt arbejdet med at forberede overgangen til et nyt retsgrundlag på området.

Datatilsynet beskriver i sit nye dokument ”Tilsynsstrategi 2016 – 2018” hvordan de senere års udvikling har vist, at det fortsat er yderst vigtigt at have øget fokus på databeskyttelsen og at der er behov for et særligt fokus på sikkerheden, når det drejer sig om behandlingen af personfølsomme oplysninger.

Tilsynet mener desuden, at det er meget relevant at se på, hvilke informationer de dataansvarlige sikrer sig omkring datasikkerheden, når de indgår aftale om anskaffelse og drift af it-løsninger med personoplysninger.

Datatilsynet er den centrale uafhængige myndighed, der:

  • Rådgiver om registrering, videregivelse og anden behandling af personoplysninger og
  • Fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige overholder persondataloven

og det er Datatilsynets vision at myndigheder og private virksomheder kender og overholder reglerne for behandling af personoplysninger og at borgerne kender og kan bruge deres rettigheder.

Datatilsynet foretager en række tilsyn med, at reglerne overholdes og overordnet kan man tale om to typer af tilsyn:

  • Tilsyn, der iværksættes som led i Datatilsynets årlige tilsynsplanlægning, dvs. ”planlagte tilsyn” og
  • Tilsyn, der iværksættes som følge af konkrete hændelser mv., de såkaldte ”ad hoc tilsyn”.

Når Datatilsynet udvælger emner til planlagte tilsyn, vil det navnlig fokusere på behandlinger af personoplysninger, som på grund af deres omfang eller formål kan indebære en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, samt på behandlinger, som indebærer brug af ny teknologi.

Ved udvælgelsen af såvel de emner som de dataansvarlige, der skal indgå i de planlagte tilsyn, tager Datatilsynet bl.a. i betragtning, om der på et område er fremkommet oplysninger – herunder ved henvendelser fra borgere eller via medieomtale – der kunne tyde på et særligt behov for tilsyn.

 

På baggrund af dette har Datatilsynet fremlagt nogle nye initiativer for arbejdet fremover:

Blandt de nye initiativer er bl.a.:

  • En ny tilsynsenhed
    Der oprettes en ny tilsynsenhed i Datatilsynet. Denne enhed skal være ansvarlig for alle Datatilsynets planlagte tilsyn samt en del af Datatilsynets ad hoc tilsyn.
     
  • Årsplan for planlagte tilsyn
    Tilsynsenheden udformer årlige oversigter over Datatilsynets planlagte tilsyn. Ved udvælgelse af emner for planlagte tilsyn skal der navnlig fokuseres på behandlinger af personoplysninger, som på grund af deres omfang eller formål kan indebære en særlig risiko for at krænke de registreredes ret til databeskyttelse og privatliv, samt på behandlinger, som indebærer brug af ny teknologi.
     
  • Oplysningsindsamling og tilsynsbesøg
    Tilsynsenheden benytter sig både af oplysningsindsamling – altså muligheden for at stille spørgsmål– og tilsynsbesøg – dvs. adgangen til kontrol på stedet hos de dataansvarlige.
    Tilsynsenheden kan f.eks. bruge oplysningsindsamling til en målrettet indsats overfor dataansvarlige i den offentligt eller private sektor vedrørende en eller flere specifikke problemstillinger. Tilsynsenheden vil i den forbindelse kunne foretage tilsyn afholdt via besvarelse af spørgeskemaer, hvis det er hensigtsmæssigt.
     
  • Nedbringelse af sagsbehandlingstiden
    Datatilsynet vil arbejde på at fortsat at forbedre sagsbehandlingstiderne i alle tilsynssager.
     
  • Påtale og opfølgning ved overtrædelser
    Datatilsynet vil påtale alle væsentlige brud på persondataloven, udtale kritik eller beklagelse samt følge op på, at påtalte forhold bringes i orden.
     
  • Transparens
    Datatilsynet vil tilstræbe høj grad af transparens omkring tilsynets tilsynsaktiviteter. Dette vil bl.a. ske gennem offentliggørelse af udtalelser og afgørelser i tilsynssager.
     

Som det fremgår af ovenstående, vil Datatilsynets nye praksis betyde, at der er øget fokus på at sikre, at både private og offentlige myndigheder overholder den nye Persondataforordning.

Hvis en virksomhed eller en offentlig institution ikke behandler personfølsomme data i overensstemmelse med de nye bestemmelser, gør deres yderste for at sikre disse data og informere om og afhjælpe eventuelle brud på sikkerheden, er det Datatilsynets opgave at påtale dette, følge op på, at forholdene bringes i orden og i visse tilfælde offentliggøre deres påtaler og afgørelser.

 

Efter Datatilsynets publikation "Tilsynsstrategi 2016-2018"