Datatilsynets planlagte tilsyn for resten af 2018

af Sarmad Reda

Datatilsynets planlagte tilsyn for resten af 2018

Datatilsynet har med fortsæt i GDPR planlagt sine tilsyn for resten af 2018. Disse tilsyn vil blive rettet mod enkelte unavngivne private virksomheder, kommuner, regioner samt retshåndhævende myndigheder.

Hos de private virksomheder vil datatilsynet have fokus på samtykke fra dataejere, IT-sikkerhed samt sletning af persondata, som virksomhederne ikke længere har grundlag for at opbevare. Slettning af personoplysninger er et af de mere udfordrende krav, der er kommet med GDPR, og her vil mange virksomheder have udfordringer, som skal tages alvorligt og overvejes grundigt.

Hos de offentlige institutioner, vil der udover IT sikkerhed på sundhedsområdet, fokuseres på udarbejdelsen af artikel 30 fortegnelsen, udnævnelse af en DPO samt databehandleraftaler hos kommunerne.

Herunder følger en beskrivelse af de enkelte fokustemaer for de planlagte tilsyn i resten af 2018:

 

  • Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
    • Dette tema er todelt, hvor datatilsynet i den første del vil undersøge lovligheden af at private virksomheder i tiden frem til 25.maj 2018 bad om fornyet samtykke til behandling af data. Her nævnes konkret at fokus vil være rettet mod en unavngiven datingside samt et par kundeklubber hos private virksomheder.
      Anden del af fokusområdet (personsdatasikkerheden) har mere en teknisk karakter rettet mod it sikkerhed dvs. kryptering, logning samt autorisations- og adgangskontrol
  • Sletning af personoplysninger hos private virksomheder
    • Datatilsynet ønsker at følge op på om private virksomheder lever op til kravet om sletning af person data, når virksomhederne ikke længere har grundlag for at opbevare data, hvilket er et af grundprincipperne i persondataforordning. Her har datatilsynet besluttet at tilføre tilsyn med sletning hos en unavngivet hotelkæde, en møbelkæde og et taxaseleskab.
  • Anvendelse af databehandlere hos kommunerne
    • Her vil der sættes fokus på om kommunerne har databehandleraftaler på plads og om hvor vidt databehandlerne rent faktisk lever op til det aftalte. Ifølge datatilsynet var den seneste tilsyn af databehandleraftaler hos kommuner og regioner i 2016. Her var konstatering at der var store udfordringer med at leve op til kravene.
  • Persondatasikkerheden i større it-systemer på sundhedsområdet
    • Dette tema har en teknisk karakter rettet mod it sikkerhed, som bl.a. kryptering, logning samt autorisations- og adgangskontrol.
  • Udpegning af databeskyttelsesrådgiver – offentlige myndigheder og en række private virksomheder
    • Datatilsynet vil føre tilsyn med, at der er udnævnt en DPO for alle offentlige myndigheder og visse private virksomheder og at kontaktinformationer på denne er meddelt datatilsynet.
  • Udarbejdelse af en fortegnelse hos kommunerne
    • Et af kravene i persondataforordning/GDPR er, at databehandlere og dataansvarlige skal lave en fortegnelse eller såkaldt artikel 30 fortegnelse. Artikel 30 fortegnelsen skal give overblik over de behandlinger der fortages. Datatilsynet vil føre tilsyn med, om udvalgte kommuner har udarbejdet de påkrævede fortegnelser.
  • De registreredes rettigheder efter retshåndhævelsen
    • Der vil føres tilsyn med udvalgte retshåndhævende myndigheder såsom politiet, anklagemyndigheden og kriminalforsorgen afholder reglerne om de registreredes rettigheder, som bl.a. kunne være indsigtsretten.
  • Databehandlingsaktiviteter i forhold til en række EU-informationssystemer
    • Datatilsynet vil gennemføre en række internationale tilsyn ift. visse EU-informationssystemer.

 

Her kan du læse Datatilsynets fulde plan for tilsyn.

Sarmad Reda

Sarmad Reda

SAP Compliance Senior Consultant

Sarmad Reda is a Compliance Principle Consultant at 2BM. He has an extensive experience in compliance, governance process implementation, segregation of duties and controls in general.

Sarmad’s main focus is GDPR in SAP – helping customers on GDPR projects and compliance projects as solution architect, including project management, implementation and documentation of architecture, compliance and security. Sarmad is driving 2BM’s GDPR Suite for SAP.

Share This