Alvorlig kritik efter Datatilsynets besøg

Efter afslutning af to planlagte tilsynsbesøg udtaler Datatilsynet alvorlig kritik for manglende efterlevelse af databeskyttelsesforordningens regler om brug af databehandlere.

nvi_portraetter_done_046_web.jpg

Datatilsynet fører bl.a. tilsyn med, at reglerne om databeskyttelse overholdes. I denne sammenhæng udvælger Datatilsynet en række virksomheder, som de skal på tilsynsbesøg hos. På baggrund af disse besøg kommer Datatilsynet med en udtalelse. En udtalelse, der bl.a. kan indeholde påbud, advarsler eller alvorlig kritik.

To af de virksomheder, der var udvalgt til et tilsynsbesøg i 2018, var to kommuner. Ved besøgene fokuserede Datatilsynet på kommunernes overholdelse af de krav, der er ved anvendelse af databehandlere.

På baggrund af tilsynsbesøgene udtalte Datatilsynet alvorlig kritik af begge kommuner og uddelte et påbud til den ene. Kommunerne havde ikke efterlevet databeskyttelsesforordningens regler i forbindelse med deres brug af databehandlere.

Konkret havde de to kommuner således ikke indgået aftaler med alle kommunernes databehandlere. Herudover havde kommunerne ikke på en tilstrækkelig klar måde instrueret databehandlerne om, hvilken behandling af personoplysninger der skulle ske på vegne af kommunerne. Afslutningsvis var der ikke ført tilstrækkeligt tilsyn med de databehandlere eller underdatabehandlere, som foretog databehandling af personoplysninger på vegne af kommunerne.

Datatilsynets begrundelse
Ved afgørelsen påpegede Datatilsynet, at indgåelse og forhandling af databehandleraftaler generelt er en meget omfattende og tidskrævende proces. Datatilsynet anså det derfor som en formildende omstændighed, at kommunerne kun manglede at indgå eller opdatere en lille del af det samlede antal databehandleraftalerne.

Datatilsynet anså det herudover for formildende omstændigheder, at kommunerne generelt havde iværksat en række tiltag for at sikre efterlevelse af databeskyttelsesforordningen. Den ene kommune havde et klart overblik over, hvad kommunen manglede for at sikre overholdelsen, mens den anden kommune førte tilsyn med databehandlerne, men at dette tilsyn blot var mangelfuldt.

Den ene kommune havde bragt forholdene i orden i forlængelse af Datatilsynets besøg. Dette var dog ikke tilfældet med den anden kommune, og Datatilsynet meddelte derfor et påbud om, at kommunen skulle sikre opfyldelsen af kravene for brug af databehandlere inden for en nærmere fastsat frist, da det ellers ville medføre en bøde eller fængsel.

Norrbom Vinding bemærker

  • at afgørelserne bekræfter, at Datatilsynet efter ikrafttræden af GDPR indtil videre har haft en nuanceret tilgang til, hvilke sanktioner der anvendes ved manglende overholdelse af de Databeskyttelsesretlige regler.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet