mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15
STORM > Nyheder > GDPR > GDPR: Det har Datatilsynet fokus på

GDPR: Det har Datatilsynet fokus på

Offentliggjorte spørgeskemaer fra Datatilsynet gør, at virksomheder nu kan forberede sig på, hvad tilsynet lægger vægt på ved et kontrolbesøg. Kontakt os, hvis du har brug for rådgivning i den forbindelse.

Den 8. oktober offentliggjorde Datatilsynet en række spørgeskemaer, som anvendes når tilsynet kommer på kontrolbesøg. Hermed får både private virksomheder og offentlige myndigheder nu mulighed for, at forberede sig konkret på fremtidig kontrolbesøg. Denne artikel omhandler konsekvenserne for private virksomheder, men ikke offentlige myndigheder.

Ikke en tjekliste, men et prioriteringsværktøj

Datatilsynet understreger, at spørgeskemaerne er forskellige fra tilsynsbesøg til tilsynsbesøg. Der er således ikke tale om en komplet tjekliste, men nærmere et resume af, hvilke spørgsmål Datatilsynet historisk set har stillet ved sine seneste kontroller.

Når det alligevel er relevant at studere spørgeskemaerne skyldes det, at emnerne i skemaerne kan hjælpe med at vurdere, hvilke GDPR-compliance opgaver der bør prioriteres højt. Ligeledes giver spørgeskemaerne svar på hvor stor detaljegrad, som tilsynet forventer.

Står en virksomhed eksempelvis med en liste over 20 opgaver som skal udføres, men grundet begrænsede ressourcer kun kan håndtere 10 af disse inden for de kommende 6 måneder, vil virksom-heden helt naturligt prioritere de 10 opgaver, som Datatilsynet har lagt størst vægt på historisk set.

Denne fremgangsmåde giver mening for virksomheden, der gerne vil begrænse sin risiko for bøde, påbud eller forbud. Men fremgangsmåden er også gavnlig for datasikkerheden i forhold til den under-liggende metode i persondataforordningen – navnlig en risikobaseret tilgang, hvor de ”værste” problemer håndteres først. Det forudsætter selvfølgelig, at virksomheden faktisk har dannet sig et over-blik, og at lavt prioriterede opgaver forfølges, så snart det er praktisk muligt.

Fokusområder

Der er offentliggjort følgende 5 skemaer;

– DPO-tilsyn for private virksomheder
– DPO-tilsyn for offentlige myndigheder
– Behandlingshjemmel og sikkerhed
– Retshåndhævelse
– Sletning

Derudover har Datatilsynet offentliggjort en række fokusområder fra resten af år 2018. Læs mere her

DPO-tilsyn

DPO (Data Protection Officer) eller en databeskyttelsesrådgiver er en særligt udnævnt person, som fører kontrol for virksomheden, og som rapporterer til ledelsen. Ikke alle private virksomheder skal have en DPO, og har man fravalgt at have en DPO, bør man være forberedt på at begrunde dette valg når tilsynet kommer på besøg.

Behandlingshjemmel og sikkerhed

Det bør forventes, at den dataansvarlige skal redegøre for samtlige aktiviteter i sin databehandlings-fortegnelse. Dette kræver både at der faktisk er udarbejdet en databehandlingsfortegnelse, og at denne er tilstrækkeligt ajourført.

Redegørelsen må være så detaljeret, at der for hver enkelt aktivitet kan redegøres for:
– typerne af behandlede personoplysninger,
– lovgrundlaget med henvisning til specifik artikel og stk. i persondataforordningen,
– efterlevelse af samtykkekrav hvis behandlingsgrundlaget er et samtykke, samt
– risikovurdering i henhold til forordningens artikel 32.

Redegørelsen bør beskrive, hvorledes de juridiske krav helt lavpraktisk overholdes i arbejdsgangen.

Retshåndhævelse

Offentliggørelsen af spørgeskemaet til retshåndhævelsesloven behandles ikke i denne artikel. Loven gælder en række offentlige myndigheder inden for strafferetsplejen og domstolene.

Sletning

Redegørelsen for den dataansvarliges håndtering af sletning bør ifølge skemaet berøre følgende:

– En liste over de systemer, som der foretages behandling gennem,
– For hvert af de enkelte systemer bør der redegøres for
o Hvilke typer af personoplysninger behandles?
o Hvad gør I ved personoplysninger, dvs. hvad består behandlingen i?
o Hvilke slettefrister er fastsat for personoplysninger i systemet?
o Hvordan understøtter systemet rent teknisk oprettelse af slettefrist?
o Hvad er procedurerne for hhv. manuel og automatisk udført sletning?
o Hvilke procedurer har I for kontrol og opfølgning i slettesystemet?
o Hvilke procedurer har I for logning af sletning, og for håndtering af backup?

Dette punkt er således i høj grad teknisk. Udfordringen består både i at fastsætte reelle slettefrister, og derefter påse, at slettefrister rent faktisk overholdes i praksis.

Vil du vide mere om udfordringerne inden for persondataområdet? Kontakt os på telefon 72 30 12 05