Flere danske virksomheder er inden for det seneste år blevet indstillet til bøder for brud på reglerne for sikker håndtering af persondata. I Danmark er det Datatilsynet, som kontrollerer virksomhederne, og som i sidste instans indstiller bøder til virksomheder over for politiet.
Datatilsynet lukker nu op for, hvad tilsynet vil sætte fokus på i andet halvår af 2019 ved kontrolbesøg. Det rummer fire overordnede temaer:
- Databehandlere
- Den daglige overvågning
- Databeskyttelse ved ansættelser
- Automatisk afgørelser og profilering
Husk, at du finder hele AutoBranchen Danmarks persondata-univers her.
1. Databehandleren
Datatilsynet vil i den kommende tid kigge nærmere på databehandlere. Datatilsynet har indtil nu erfaring med, at den dataansvarlige (udpeget i virksomheden eller indehaveren) har haft svært ved at fremvise skriftlige databehandleraftaler. Samtidig kniber det med behandlingssikkerheden hos databehandlerne. Ida Nynne Daarbak Jensen, der er jurist i AutoBranchen Danmark, supplerer:
“Det er meget vigtigt, at databehandleren gennemfører de samme og stramme foranstaltninger som den dataansvarlige. Det gælder både teknisk og organisatorisk. Samtidig vil Datatilsynet kigge nærmere på databehandlerens håndtering af de såkaldte underdatahandlere”, siger Ida Nynne Daarbak Jensen og fortsætter:
“Alt sammen skal sikre, at hele datakæden er bundet sammen på forsvarlig vis. Det skærpede tilsyn vil både gælde leverandører til offentlige og private virksomheder. Det gælder naturligvis også bilforhandlere og autolakerere”.
Du finder Datatilsynets egen vejledning på det specifikke område ved at klikke her.
2. Den daglige overvågning
Stadig flere forbrugere kan følges digitalt ved hjælp af data, som virksomheder indsamler. Det omfatter også personfølsomme data. Virksomheders behandling, opbevaring og sletning af den type af data vil også komme til at veje tungt i kontrollen i andet halvår af 2019.
“Konkret kigger tilsynet på alt fra kundernes købshistorik, rejsehistorik, systemer til nummerpladegenkendelse og opbevaring af data på parkeringsanlæg. Kort sagt vil Datatilsynet sikre, at slettefrister, oplysningpligten og opbevaring foregår efter bogen. Det er for at sikre den enkelte. Samtidig viser tidligere sager, at det er her, det kan blive rigtig dyrt for dem, der ikke har klare regler i virksomheden”, siger Ida Nynne Daarbak Jensen fra AutoBranchen Danmark.
Datatilsynet har udarbejdet en række vejledninger og skabeloner til at overholde reglerne. Du finder dem her.
3. Ansættelsesforhold og data
Et ansættelsesforløb kan være en kompleks størrelse – også når det kommer til reglerne for både datasikkerhed, ansættelsesretlige regler og kollektive overenskomster. Kort sagt indsamles og opbevares der rigtig meget persondata i en rekrutteringsfase.
“Derfor vil Datatilsynet kigge på, om virksomheder får slettet de personoplysninger fra kandidater, som fravælges til et job. Når en arbejdsgiver behandler oplysninger om en ansøger eller medarbejder, skal arbejdsgiveren som dataansvarlig kunne dokumentere, at den pågældende har fået informationerne. Det er en del af oplysningspligten, og den skal man have styr på”, siger Ida Nynne Daarbak Jensen.
Også her har Datatilsynet udarbejdet en klar oversigt over hvordan disse data skal behandles. Det omfatter både ‘almindelige oplysninger’ såsom CV. Det omhandler også følsomme oplysninger som eksempelvis helbredsoplysninger, fagforeningsdata samt personnummer og strafbare forhold. Du finder hele vejledningen her.
4. Automatiske afgørelser og profilering
Det fjerde punkt er først og fremmest henvendt banker og forsikringsselskaber, og omfatter automatiske afgørelser og profilering. Ifølge forordningen for databeskyttelse har alle ret til ikke at være genstand for en afgørelse, der alene baserer sig på automatisk behandling, herunder profilering.
“Som eksempel kan man nævne en låneberegner hos et forsikringsselskab eller udarbejdelsen af et lån fra en bank. Her bruger de finansielle virksomheder typisk en algoritme til at lave en automatisk vurdering. Og den modsvarer måske ikke det lånebeløb eller den pris, kunden havde forventet”, siger Ida Nynne Daarbak Jensen og fortsætter:
“Derfor har man krav på at få udarbejdet et nyt tilbud med menneskelig indgriben. Det sikrer forordningen for databeskyttelse, og det vil Datatilsynet godt sikre sig overholdes”.
Du kan læse mere om den specifikke artikel i forordningen for databeskyttelse her.
