09.02.2021 | Databeskyttelse

Skrevet af

Søren Terp Kristophersen
Advokat CIPP/E

Nyt fra Datatilsynet – januar 2021

Datatilsynet har i løbet af januar orienteret om særlige fokusområder for de tilsynsaktiviteter, som Datatilsynet selv iværksætter i 2021, samt offentliggjort to nye vejledninger, som det kan være relevant for private og/eller offentlige arbejdsgivere at have kendsk

Fokusområder i 2021
Datatilsynet har offentliggjort en liste over, hvilke områder Datatilsynet særligt vil fokusere på i forhold til tilsynsaktiviteter, som Datatilsynet sætter i værk i løbet af 2021. Listen indeholder flere fokusområder af relevans for det ansættelsesretlige område, herunder:

  • Tv-overvågning
    Datatilsynet vil i 2021 føre tilsyn med en række private og offentlige myndigheders behandling af personoplysninger i forbindelse med tv-overvågning. Dette fokusområde skyldes særligt den lempelse af reglerne om tv-overvågning, som blev gennemført ved en ændring af tv-overvågningsloven sidste år. Vores nyhed om den vedtagne ændring af tv-overvågningsloven kan læses her.
  • Persondatasikkehed, inklusive brud på persondatasikkerheden
    Datatilsynet har på baggrund af de brud på persondatasikkerheden, som i 2020 blev anmeldt til Datatilsynet, opnået kendskab til de udfordringer vedrørende sikkerheden, der findes hos dataansvarlige og databehandlere. På den baggrund vil Datatilsynet i 2021 føre tilsyn med persondatasikkerheden inden for en række nærmere angivne områder, herunder i forhold til, om brud på persondatasikkerheden bliver håndteret i henhold til reglerne herom.
  • Kontrol med databehandlere
    Datatilsynet oplever jævnligt, at der sker brud på datasikkerheden hos databehandlere, og at sådanne brud efter omstændighederne ville kunne have været forebygget gennem den dataansvarliges effektive kontrol med den pågældende databehandler. Datatilsynet vil på den baggrund føre tilsyn med en række statslige myndigheders kontrol med databehandlere.
  • Overførsel til tredjelande
    Datatilsynet vil i 2021 føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande (lande uden for EU og EØS-området). Dette fokusområde er særligt begrundet i ”Schrems II-sagen”, hvor EU-Domstolen sidste år kendte Privacy Shield-ordningen, der tidligere kunne benyttes som overførselsgrundlag til USA, ugyldig.

Vores nyhed om EU-Domstolens afgørelse i Schrems II-sagen, som i øvrigt rejser en række spørgsmål i forhold til overførsel af personoplysninger til tredjelande, kan læses her.
Datatilsynets fulde oversigt over særlige fokusområder for 2021 kan findes her.

Vejledning om udveksling af personoplysninger med politiet
Datatilsynet har offentliggjort en vejledning, der har til formål at belyse rammerne for, hvornår private aktører og offentlige myndigheder kan udveksle personoplysninger med politiet.

I vejledningen gennemgås det retlige grundlag for, hvornår man som privat aktør eller offentlig myndighed kan udveksle personoplysninger med politiet. Derudover indeholder vejledningen flere eksempler på situationer, hvor der kan opstå tvivl om, hvorvidt personoplysninger kan udveksles med politiet. De eksempler, som er anført i vejledningen, kan anvendes som rettesnor i forhold til andre spørgsmål, der måtte kunne opstå i praksis.

Vejledningen om udveksling af personoplysninger med politiet kan tilgås via dette link.

Bødevejledning
Datatilsynet har derudover offentliggjort en vejledning om udmåling af bøder for virksomheders overtrædelse af reglerne om databeskyttelse. Vejledningen er udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten og har til formål at sikre større gennemskuelighed omkring, hvordan Datatilsynets fastsætter størrelsen af de bøder, der indstilles til.

I vejledningen gennemgås den model, der ligger til grund for beregningen af en bøde.

Modellen indebærer, at der for det første fastsættes et grundbeløb. Dette grundbeløb fastsættes efter kategorien af den overtrædelse, der er tale om. Overtrædelserne er således inddelt i forskellige kategorier efter den generelle alvor af de pågældende overtrædelser. Ved fastsættelsen af grundbeløbet tages desuden hensyn til virksomhedens størrelse.

Når grundbeløbet er fastlagt, justeres bøden under hensyntagen til en konkret vurdering af overtrædelsens karakter, alvor og varighed. Der skal ved denne vurdering lægges vægt på databehandlingens omfang, formål, antallet af berørte registrerede samt omfanget af den skade, de registrerede har lidt i forbindelse med overtrædelsen.

Herefter kan bødens størrelse justeres i enten opad- eller nedadgående retning grundet forskellige skærpende eller formildende omstændigheder, som gennemgås i vejledningen.

Endelig kan bøden eventuelt justeres som følge af databeskyttelsesforordningens maksimum eller som følge af manglende betalingsevne.

Vejledningen om udmåling af bøder karakteriseres som et arbejdsdokument, som løbende opdateres i takt med, at der bliver håndteret flere straffesager på området, og at såvel national som EU-retlig praksis udvikles.

Vejledningen om udmåling af bøder kan tilgås via dette link.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.