Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret og spænder fra at vejlede og rådgive til at behandle klagesager og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også i bl.a. det fælles europæiske samarbejde om databeskyttelse.
I teksten nedenfor kan du læse om, hvilke områder Datatilsynet i 2021 særligt vil fokusere på, når det gælder de tilsynsaktiviteter, vi selv beslutter at iværksætte:
Tilladelser til at føre kreditoplysningsbureau, advarselsregistre og spærrelister
Kreditoplysningsbureauer kan på nærmere fastsatte vilkår få tilladelse fra Datatilsynet til at behandle personoplysninger med henblik på erhvervsmæssig videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed. Datatilsynet har besluttet at føre tilsyn med kreditoplysningsbureauers behandling af personoplysninger, herunder overholdelse af de vilkår, som Datatilsynet har fastsat for kreditoplysningsbureauernes behandling af personoplysninger.
Datatilsynet har ligeledes besluttet at sætte fokus på behandling af personoplysninger i forbindelse med førelse af advarselsregistre og spærrelister. Datatilsynet vil i den forbindelse føre tilsyn med, om de vilkår, som Datatilsynet har fastsat i forbindelse med en række tilladelser til at føre advarselsregistre og spærrelister, bliver overholdt.
Datatilsynet har i 2021 valgt at føre tilsyn med en række private virksomheder mv., der alle har en tilladelse fra Datatilsynet til enten at drive kreditoplysningsbureauvirksomhed, føre et advarselsregister eller en spærreliste.
Inkassobureauers oplysningspligt og sletning
Der findes i databeskyttelsesforordningen en række helt centrale regler, der omhandler de registreredes rettigheder, herunder regler om den dataansvarliges oplysningspligt ved behandling af personoplysninger og om indsigt i de oplysninger, der behandles om de registrerede. Reglerne skal være med til at sikre, at behandling af personoplysninger foregår på en rimelig og gennemsigtig måde. Forordningen indeholder også en grundlæggende regel om, at når personoplysninger ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres. Reglen bidrager til at sikre mod en unødvendig ophobning af data, idet dette principielt altid indebærer en vis forøget risiko for krænkelse af de registrerede. f.eks. ved at uvedkommende får fat i oplysningerne.
Datatilsynet har i 2021 valgt at føre tilsyn med en række inkassobureauers håndtering af reglerne om oplysningspligt. Endvidere har Datatilsynet valgt at føre tilsyn med inkassobureauernes opbevaring, herunder håndtering af og procedurer for sletning af personoplysninger.
Pengeinstitutters procedure for indsigtsanmodninger
Med henblik på fokus på de registreredes rettigheder, jf. ovenfor har Datatilsynet i 2021 valgt også at føre tilsyn med en række pengeinstitutters procedure for håndtering af den registreredes ret til indsigt.
Tv-overvågning
Den 1. juli 2020 trådte en ændring af tv-overvågningsloven i kraft. Med ændringen er der bl.a. skabt mere lempeligere rammer for det område, som kan tv-overvåges, da tv-overvågning ikke længere umiddelbart er begrænset af et afstandskrav ved overvågning af området omkring egne indgange og facader. Lovændringen indebærer også, at kommuner i videre omfang kan foretage tv-overvågning af områder, som benyttes til almindelig færdsel, og som ligger i tilknytning til eller i forlængelse af en restaurationsvirksomhed.
Datatilsynet har navnlig i lyset af ovenstående lovændring besluttet i 2021 at føre tilsyn med en række private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning.
Myndigheders videregivelse af personnumre til borgere
Datatilsynet er på baggrund af konkrete henvendelser blevet opmærksom på, at visse offentlige myndigheder videregiver oplysninger om borgeres personnummer til andre borgere i forbindelse med myndighedernes sagsbehandling.
Datatilsynet har i 2021 besluttet at føre tilsyn med offentlige myndigheders videregivelse af personnumre til borgere med henblik på at undersøge i hvilket omfang dette finder sted, og hvad baggrunden herfor er.
Forskning
På baggrund af en foreløbig rapport fra Kammeradvokaten om forskellige problemstillinger i forbindelse med forskningsprojekter på Statens Serum Institut (SSI) indledte Datatilsynet i efteråret 2020 en nærmere undersøgelse af forholdene hos SSI.
Med henblik på at undersøge, om de problemstillinger, som tilsyneladende gør sig gældende hos SSI, går igen hos andre lignende dataansvarlige, har Datatilsynet endvidere igangsat flere skriftlige tilsyn med offentlige institutioner, som udfører forskning.
I forlængelse heraf er det tilsynets hensigt, at der i 2021 tillige skal iværksættes tilsyn med en eller flere private forskningsinstitutioner.
Behandling af personoplysninger om hjemmesidebesøgende
Som opfølgning på Datatilsynets vejledning fra februar 2020 om behandling af personoplysninger om hjemmesidebesøgende har Datatilsynet for at fastholde fokus på området besluttet også i 2021 at iværksætte tilsyn på dette område.
Persondatasikkerhed, inkl. brud på persondatasikkerheden
Myndigheder eller virksomheder har – som dataansvarlige og som databehandlere – et ansvar for at etablere et passende sikkerhedsniveau, når de behandler personoplysninger. Hvis der sker et brud på persondatasikkerheden har den dataansvarlige som udgangspunkt et ansvar for at anmelde bruddet til Datatilsynet, ligesom den dataansvarlige også i nogle tilfælde skal underrette de berørte registrerede om bruddet.
Datatilsynet modtog i 2020 knap 9.000 anmeldelser af brud på persondatasikkerheden. Brudene giver tilsynet et indgående kendskab til de udfordringer, der er i forhold til sikkerheden hos dataansvarlige og databehandlere. På baggrund af bl.a. de anmeldte brud har tilsynet identificeret en række områder, hvor risikoen for manglende efterlevelse af databeskyttelsesreglerne, herunder reglerne om passende sikkerhed, ses at være størst.
Datatilsynet har derfor i 2021 besluttet at føre tilsyn med sikkerheden inden for følgende områder:
- adgangs- og rettighedsstyring,
- anvendelse af personoplysninger i forbindelse med it-udvikling og test,
- håndtering af personoplysninger, som ”tages ud af” dertil indrettede it-systemer, f.eks. på bærbare elektroniske medier eller på papir mv. (uddatamateriale),
- om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom.
Alt efter karakteren af de pågældende områder, vil tilsynene i varierende grad rette sig mod forskellige dataansvarlige i den private og i den offentlige sektor, herunder bl.a. kommuner, sundhedssektoren og politiet samt mod fællesoffentlige digitale løsninger. I tilknytning hertil vil Datatilsynet iværksætte en mere generel screening af sikkerhedsområder hos et større antal dataansvarlige.
Kontrol med databehandlere
Myndigheder og virksomheder kan – som dataansvarlige – overlade personoplysninger til andre aktører, der – som databehandlere – herefter står for behandlingen af oplysningerne. De enkelte dataansvarlige har en selvstændig forpligtelse til at føre kontrol med, om en databehandler overholder den dataansvarliges instrukser for behandlingen. Tilsvarende har databehandleren en selvstædighed forpligtelse til at leve op til databeskyttelsesreglerne. I praksis oplever Datatilsynet imidlertid jævnligt brud på persondatasikkerheden hos databehandlere – brud som de dataansvarlige efter omstændighederne ville kunne have forebygget ved en effektiv kontrol med de respektive databehandlere.
Da brugen af databehandlere er meget udbredt og således udgør en meget væsentlig del af digitaliseringen i Danmark, er risikoen for de registrerede tilsvarende stor, hvis databehandlere i bred forstand ikke lever op til databeskyttelsesreglerne, og i tilknytning hertil, hvis de dataansvarlige ikke fører en tilstrækkelig kontrol med databehandlere.
Derfor har Datatilsynet siden 2016 haft et løbende fokus på kontrol med databehandlere, og i maj 2019 afgav Rigsrevisionen i forlængelse heraf også en beretning til Statsrevisorerne om ”outsourcede persondata”. En af Rigsrevisionens konklusioner i beretningen er, at mange myndigheder har haft en utilstrækkelig styring af databehandlere og bl.a. alt for sjældent har udarbejdet risikovurderinger.
Der er således stadig behov for, at både Datatilsynet og myndighederne arbejder meget mere med området, og tilsynet har derfor i 2021 besluttet at føre tilsyn med en række statslige myndigheders kontrol med databehandlere.
Overførsel af personoplysninger til tredjelande
Når en myndighed eller virksomhed overfører personoplysninger til lande uden for EØS (tredjelande), kræves det, at der foreligger et såkaldt overførselsgrundlag. Formålet hermed er at sikre, at databeskyttelsesreglerne ikke udvandes, når oplysningerne forlader EØS.
Med den såkaldte Schrems II-afgørelse i 2020 slog EU-Domstolen fast, at man som dataeksportør er forpligtet til at sikre et essentielt tilsvarende beskyttelsesniveau i tredjelandet, og at dette i nogle tilfælde kræver, at man – ud over at tilvejebringe et overførselsgrundlag – iværksætter supplerende foranstaltninger.
Datatilsynet har – navnlig i lyset af Schrems II-afgørelsen – besluttet i 2021 at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.
Behandling af personoplysninger i fælleseuropæiske informationssystemer
Datatilsynet er tilsynsmyndighed for danske myndigheders behandling af personoplysninger i forbindelse med anvendelsen af en række fælleseuropæiske informationssystemer. Det drejer sig bl.a. om Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (Eurodac), Toldinformationssystemet (CIS) og Informationssystemet for det indre marked (IMI).
Datatilsynet har besluttet i 2021 at føre tilsyn med en række myndigheders behandling af personoplysninger i forbindelse med anvendelsen af nogle af de nævnte informationssystemer.
PNR-loven
PNR-loven udgør den retlige ramme for politiets indsamling og behandling af de passagerlisteoplysninger (PNR-oplysninger), som luftfartsselskaberne er i besiddelse af om deres passagerer. Oplysningerne må ifølge loven alene behandles til nogle særligt opregnede formål.
Der er i medfør af loven etableret en PNR-enhed i Rigspolitiet, som er ansvarlig for bl.a. at indsamle, opbevare, og videregive oplysningerne. Datatilsynet er udpeget til at føre tilsyn med PNR-enheden.
Datatilsynet har besluttet i 2021 at føre tilsyn med Rigspolitiets overholdelse af en række af lovens bestemmelser.
Retshåndhævelsesloven
Retshåndhævelsesloven gælder for politiets, anklagemyndighedens, kriminalforsorgens, Den Uafhængige Politiklagemyndigheds og domstolenes behandling af personoplysninger, når behandlingen foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner. Datatilsynet fører tilsyn med de retshåndhævende myndigheders behandling af personoplysninger omfattet af loven – dog med undtagelse af domstolene. Datatilsynet behandler endvidere klagesager og tager sager op af egen drift på området.
Datatilsynet har i 2021 valgt at føre tilsyn med udvalgte retshåndhævende myndigheders overholdelse af en række af lovens bestemmelser.