Det første år med Databeskyttelsesloven er passeret og sommeren bliver så småt afløst af efteråret. De fleste skænker måske ikke persondata en tanke i det daglige, men det betyder ikke, at persondata er et overstået kapitel eller er passé – langt fra. 

Datatilsynet offentliggjorde i juli 2019 deres plan for tilsyn i andet halvår af 2019. Her vil der især fokuseres på fire overordnede temaer. De er: Databehandlere, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering.

Heldigvis er dette ikke temaer, som er uvante for DI’s medlemsvirksomheder, men ikke desto mindre der, hvor fokus fortsat skal være.

Læs tema om GDPR i magasinet DI Business 

Husk fokus på underdatabehandlere

Ét af de ovenstående temaer er databehandlere.

En databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne (Find information om forskellen på datansvarlig og databehandler her).

Her vil Datatilsynet sikre sig, at de rette foranstaltninger er taget i brug. Det er altså en god ide, at den dataansvarlige sikrer sig, at der findes en databehandleraftale mellem den dataansvarlige og databehandleren.

Under samme tema vil der blive kigget på underdatabehandlere, som er den eller de leverandører, som skal behandle oplysninger på vegne af en databehandler. Her skal det være sikret, at de også lever op til de samme krav som databehandlerne.

Især er det vigtigt, at den dataansvarlige har givet sin forudgående godkendelse til brug af underdatabehandleren. 

Læs også: Persondata: 5 trin gør din virksomhed klar

Husk at slette overvågningsdata

Den daglige overvågning er Datatilsynets andet fokuspunkt. Her er det især overvågning som kontrolforanstaltning i forhold til medarbejdere, kunders købshistorik, kunders rejsehistorik og automatisk nummerpladegenkendelse i indkøbscentre, der er i fokus. Derfor vil det være en god ide at tjekke op på, at der er et lovlig grundlag for behandling af oplysningerne, at oplysningspligten er iagttaget, og at data bliver slettet, så de ikke opbevares i længere tid end nødvendigt.

Den dataansvarlige har ansvaret for denne del.  

Læs også: Datatilsyn: Bødetrussel skal virke afskrækkende

Slet data fra rekruttering

Tredje fokuspunkt er det ansættelsesretlige område. Her vil Datatilsynet især have fokus på sletning af oplysninger i forbindelse med rekruttering. Og på om kontrolforanstaltninger, som virksomheden indfører overfor medarbejderne, bliver oplyst korrekt. Det kan fx være sletning af de oplysninger, der indhentes om en person i forbindelse med rekruttering, eller hvis der indføres videoovervågning af medarbejderne.

Som det sidste fokuspunkt vil Datatilsynet kigge på bank- og forsikringsbranchen. Dette område er ikke et område, hvor DI’s medlemmer er særligt udsatte, men er alligevel værd at nævne, eftersom det giver en indikation på, hvor Datatilsynets fokus er. 

Læs også: Blog: Bødeniveau for GDPR-overtrædelse ligger bekymrende højt

Kan give forståelse for dataflow

De ovenstående temaer afspejler til dels de seneste afgørelser fra Datatilsynet, der har ført til bøder i millionklassen. Her har fokus været på sletning, hvorfor man som virksomhed bør tjekke op på, at der er styr på databehandling og de processer, som følger i kølvandet på dette. Herunder sletning.

At der nu også rettes fokus mod disse udvalgte temaer understreger, at det er nødvendigt, at man som dataansvarlig eller databehandler har sine databehandleraftaler på plads, og sørger for at registrerede rettigheder er sikret korrekt ved hjælp af foranstaltninger på det organisatoriske og tekniske plan.

Sørger man som virksomhed for hele tiden at kunne dokumentere sine handlinger og overvejelser undervejs i processen, så kommer man langt. Ligesom det samtidig kan være en hjælp til, at man kontinuerligt forbedrer sine arbejdsgange og processer, hvilket samlet set giver virksomhederne en større forståelse for deres data flow. Dette overblik kan være et redskab til at rydde op i gamle systemer og skille sig af med den data, som ikke længere er relevant.

Datatilsynets planlagte tilsyn for andet halvår kan findes her.

Har man brug for hjælp eller rådgivning i forbindelse med de ovenstående punkter, eller andre spørgsmål vedrørende GDPR, så står DI klar til at hjælpe jer bedre på vej.

Man kan bl.a. finde hjælp og skabeloner til persondatabeskyttelse