Kontekstbaseret information

Forleden dag var jeg til en konference, hvor Datatilsynet gjorde rede for

  • Datatilsynet som organisation
  • Sanktionsmuligheder og bødestørrelsen
  • Fokusområder, når de kommer på et tilsyn

Selvfølgelig vil jeg dele det, jeg hørte, med dig, så du kan tage de nødvendige initiativer og igen sove trygt om natten. 

Datatilsynets organisering

Internt har Datatilsynet gennemgået en stor organisationsforandring, medarbejderstaben er øget til cirka 50 medarbejdere, der varetager hhv. rådgivning og formidling, tilsyn, generel databeskyttelse (ikke kun persondata).

Undervejs i planlægningsarbejdet har Datatilsynet skelet til udmeldinger fra den såkaldte "artikel 29"-gruppe (tværnationalt rådgivende interessegruppe), samt afventet, hvordan niveauet ville lægge sig i de øvrige EU-lande.

Medarbejderne har afholdt workshops om, hvilket emner og brancher der vil have deres primære fokus.

Måske vil du vide, hvornår Datatilsynet kan komme på besøg, og hvordan det foregår?

Datatilsynet planlægger selv en række tilsyn (ca. 100 pr. år), hvor man først vil gå efter de brancher, hvor der behandles store mængder persondata, meget ”sårbare” persondata, mængden af registrerede personer er stor – og sidst, de brancher, som man - igennem pressen og klager fra borgere – får kendskab til, har en ugennemsigtig / problematisk behandling af persondata.

Ved et planlagt tilsyn bliver virksomheden varslet 4 uger forinden besøget. Ved et ad hoc besøg (f.eks. efter en klage fra en borger) kan tilsynet ske uden varsel.

Hvad mange nok ikke har tænkt over, er, at et datatilsyn fra de øvrige EU-lande kan anmode om et tilsyn (via Datatilsynet) i en dansk virksomhed, hvis f.eks. en italiensk borger har klaget.

Datatilsynets sanktionsmuligheder

Bare rolig, bødeblokken er ikke det første Datatilsynet tager frem. Inden da vil der komme en anmodning om en udtalelse, advarsel, et påbud, et forbud – og så evt. en bøde. 

Selve bødeforlægget hører under almindelig retspleje, dvs. en evt. sag skal stilles for domstolene, og kan således ikke udstedes af Datatilsynet. Det betyder faktisk også, at man har ret til ikke at udtale sig, hvis man er ved at blive sigtet. Man forsøger at harmonisere bødestørrelserne i hele EU, så de samme foreteelser får den samme straf i hele EU.

Det betyder, at der rent faktisk kan gå måneder, før vi ser, hvordan de enkelte foreteelser vil blive straffeudmålt. Samt man kan stille sig selv det spørgsmål, hvem skal vente på hvem?

Nok om det – nu til det, der er væsentligt for dig!
Når du kender Datatilsynets fokusområder, kan du handle og tage de rette interne initiativer.

Datatilsynets fokusområder:

Her skal du virkelig høre efter!

For de påtaler, der indtil nu er givet, har ALLE handlet om:

Kravet om at man som dataansvarlig har fuldstændig styr på, hvad virksomhedens databehandlere gør med de persondata. Det skal ske igennem

  • en databehandleraftale, samt – som det fornyeligt blev indskærpet fra Datatilsynet:

Et regelmæssigt tilsyn af databehandleren. Et tilsyn, der kan ske på 4 måder:

  • En revisorpåtegnelse – udarbejdet af databehandleren
  • En revisorpåtegnelse – udarbejdet af den dataansvarlige
  • En skriftlig henvendelse fra den dataansvarlige til databehandleren
  • Et fysisk fremmøde hos databehandleren. 

Læs mere om ARKIVO Online, der skaber overblik over ansvar, roller, databehandlere, aftaler, kontrol og reviews.

Så hvad mere kan jeg sige til dig?
Andet end: "Sæt i gang..."

­