Skal du være ekstra opmærksom? Datatilsynet har offentliggjort deres fokusområder for tilsynsaktivitet i 2024
Datatilsynet har offentliggjort deres nye tilsynsplan for 2024, hvor de opstiller en række områder, hvor du som virksomhed, skal være særligt opmærksom.
Kunstig intelligens og automatisering
Udviklingen og udbredelsen af kunstig intelligens (”AI”) er vokset eksponentielt og bliver pt. anskuet til at få en grundlæggende betydning for måden stort set alle på sigt vil arbejde på. AI skal dog bruges med respekt for det enkelte menneskes personoplysninger, da teknologien ubestridt kan indebære særlige risici i forbindelse med behandlingen af personoplysninger. Det er således ikke overraskende, at Datatilsynet vælger dette som fokusområde i 2024.
Nogle virksomheder benytter AI med respekt for at personoplysninger ikke må gives videre og andre bruger enorme ressourcer på at skabe et lukket forum, hvor persondata behandles korrekt efter forordningen.
Uagtet, hvordan man vælger at benytte det, så vil brugen heraf blot vokse, hvorfor Datatilsynet vil øge sit fokus på hvilke risici brugen af kunstig intelligens medfører. De vil derfor ved et tilsyn efterse, at oplysningerne håndteres forsvarligt og at kunstig intelligens kun anvendes, hvor det er i overensstemmelse med databeskyttelseslovgivningen. Foruden tilsyn med brugen af kunstig intelligens, vil Datatilsynet også fokusere på brugen af automatiseringsløsninger, herunder de databeskyttelsesretlige problematikker, der kan opstå som følge heraf.
Medarbejderovervågning
En anden vigtig opgave som Datatilsynet har fokus på er, hvordan arbejdsgivere, både i den private og offentlige sektor, overvåger deres ansatte.
Datatilsynet vil undersøge hvordan og hvorfor virksomheder overvåger deres ansatte samt kontrollere, at overvågningen sker i overensstemmelse med gældende lovgivning.
Den registreredes ret til indsigt – borgeres adgang til egne data
Man har ret til indsigt i ens egne data for at give den registrerede mulighed for at se hvilke personoplysninger, der behandles om den pågældende og skabe mere gennemsigtighed omkring, hvordan oplysningerne behandles.
Datatilsynet vil med udgangspunkt i håndhævelsesrammen (Coordinated Enforcement Framework (CEF) deltage i den koordinerede fælles aktivitet mellem de europæiske tilsynsmyndigheder og sikre korrekt håndtering af indsigt i personlige data.
Boligforeninger i fokus
Boligforeningers og dermed udlejeres håndtering af beboernes data, herunder brug af videoovervågning og TV-overvågning, vil også blive kontrolleret i 2024. Der gælder for boligforeninger, herunder deres administratorer, præcis de samme rettigheder, som gælder for alle andre og nu rettes fokus på at kontrollere lejernes rettigheder.
Lejerne har ret til at få indsigt i deres personoplysninger og kan anmode om rettelser eller sletning. Boligforeninger, der bruger tv-overvågning, skal overholde reglerne for skiltning og optagelsernes håndtering. Datatilsynet har udgivet en vejledning om tv-overvågning, som boligforeninger bør følge, hvis de bruger dette.
Hvis en boligforening ikke overholder databeskyttelsesreglerne, kan Datatilsynet træffe forskellige sanktionsforanstaltninger. Disse omfatter advarsler, offentlig kritik og påbud om at rette op på ulovlige behandlinger. I alvorlige tilfælde kan Datatilsynet også pålægge bøder, hvor bødens størrelse afhænger af flere faktorer, såsom karakteren af overtrædelsen, antallet af berørte personer og selskabets tidligere overtrædelser. En mellemstor virksomhed kan for eksempel blive pålagt en bøde på over 1,5 millioner kr. for overtrædelse af reglerne om de registreredes rettigheder ifølge Datatilsynets bødevejledning.
Kommunale webarkiver under observation
Datatilsynet ændrede i 2021 praksis vedrørende offentliggørelse af personoplysninger i webarkiver. Efter 2021 måtte e-mailadresser, telefonnumre og korrespondance, der ikke vedrørte den konkrete ejendom, ikke længere blive offentliggjort i de tilgængelige webarkiver. Dette ændrede dog ikke tidligere offentliggjort materiale, men kommuner skulle tilpasse deres praksis inden 1. januar 2022.
Datatilsynet vil derfor have særligt fokus på, hvordan kommunerne arkiverer offentlige oplysninger på nettet, og om de overholder gældende retningslinjer.
Privatskoler
Det er blandt andet for privatskoler nødvendigt at behandle en række personoplysninger om elever og forældre. Datatilsynet har tidligere forsøgt at hjælpe med denne vurdering ved at udgive en tjekliste om skolers brug af billeder. Formålet med tjeklisten er at give ansatte og ledere vejledning i, hvordan man sikrer sig, at skolens brug af billeder er i overensstemmelse med databeskyttelsesreglerne.
Datatilsynet vil således i 2024 også have fokus på, hvordan privatskoler behandler elevernes personlige oplysninger, herunder indsigts- og sletteanmodninger.
Online og fysisk indkøb – detailhandlens håndtering af data
Både online og fysiske butikkers behandling af kundeoplysninger vil blive nøje overvåget, da der unægtelig indenfor detailhandlen bliver gemt utrolig mange personoplysninger, eksempelvis betalingskortoplysninger og indkøbsapp. Der vil derfor være særligt fokus på ”husk mit kort” funktioner ved online handel, samt tilsvarende i fysiske butikker med scan-og-betal-apps.
Forebyggelse af datamisbrug
Både offentlige og private organisationer har et ansvar som enten dataansvarlige eller databehandlere for at opretholde et passende sikkerhedsniveau under behandlingen af personoplysninger. Dette indebærer nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uvedkommen adgang til oplysninger, f.eks. som følge af misbrug af adgangsrettigheder.
I de seneste år har Datatilsynet observeret adskillige tilfælde af brud på persondatabeskyttelse, hvor utilstrækkelig styring af adgangsrettigheder har øget risikoen for misbrug af personoplysninger. Eksempler inkluderer situationer, hvor en hacker har fået lettere adgang til oplysninger i systemet eller hvor medarbejdere ulovligt har tilgået personoplysninger af nysgerrighed eller for personlig gevinst uden opdagelsesrisiko. Datatilsynet har udarbejdet adskillige vejledninger herom til hjælp.
Et eksempel på en sag er eksempelvis, da Sirius Advokater beklageligvis blev indstillet til en bøde på kr. 500.000 efter at særligt beskyttelsesværdige personoplysninger blev kompromitteret efter et hackerangreb. Derfor har Datatilsynet i 2024 besluttet at sætte fokus på dette område hos visse offentlige og private dataansvarlige.
Sikker databehandling i kommuner og regioner
Datatilsynet vil fortsætte med at vurdere datasikkerheden i kommuner og regioner, hvor de igennem de seneste mange år har haft fokus på en effektiv kontrol.
Europæiske informationssystemer
Datatilsynet vil også overvåge, hvordan danske myndigheder behandler personlige data i fælleseuropæiske informationssystemer.
Retshåndhævelsesloven – Politiets Datahåndtering
Retshåndhævelsesloven finder anvendelse på behandlingen af personoplysninger foretaget af politiet, anklagemyndigheden, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene i forbindelse med forebyggelse, efterforskning, opdagelse, retsforfølgelse eller fuldbyrdelse af strafferetlige sanktioner. Datatilsynet fører tilsyn med, hvordan de retshåndhævende myndigheder behandler personoplysninger i henhold til retshåndhævelsesloven, med undtagelse af domstolene.
I løbet af 2024 planlægger Datatilsynet at gennemføre en række tilsynsaktiviteter for at sikre overholdelse af lovens bestemmelser blandt de retshåndhævende myndigheder.
PNR-lov: Politiets brug af passageroplysninger
Endelig vil Datatilsynet sikre, at politiet håndterer passagerdata fra flyselskaber (PNR-oplysninger) korrekt i overensstemmelse med PNR-loven, herunder at de udelukkende anvendes til de formål, som PNR-loven godkender.
Hos ØENS Advokatfirma anbefaler vi altid, at man tager databeskyttelsesreglerne seriøst. Det er ofte forbundet med omfattende bøder, hvis man handler i strid med reglerne, ligesom der i stigende grad opleves hackerangreb ved manglende beskyttelse. Reglerne er derfor med til at sikre os alle og give en større tryghed.
Hvis du har spørgsmål til databeskyttelseslovgivningen og de krav som din virksomhed kunne være underlagt, er du altid velkommen til at kontakte advokat og associeret partner Lisa Lykke på tlf. 32 46 46 38 eller mail lly@oadv.dk.