/ Nyheder / Hvad spørger Datatilsynet om, når de fører tilsyn?

Hvad spørger Datatilsynet om, når de fører tilsyn?

Datatilsynet har offentliggjort nogle spørgeskemaer, som de har benyttet på deres seneste tilsyn. Datatilsynet interesserer sig p.t. for, om virksomheden har en databeskyttelsesrådgiver (DPO), ligesom behandlingshjemmel og opfyldelse af de registreredes rettigheder er i fokus.

Af

Datatilsynet har offentliggjort nogle spørgeskemaer, som de har benyttet på deres seneste tilsyn. Datatilsynet interesserer sig p.t. for, om virksomheden har en databeskyttelsesrådgiver (DPO), ligesom behandlingshjemmel og opfyldelse af de registreredes rettigheder er i fokus.

DPO

Datatilsynet spørger ind til, om virksomheden har udpeget en databeskyttelsesrådgiver. Hvis ikke man har det, så vil Datatilsynet orienteres om begrundelsen her.

I den forbindelse skal det nævnes, at private virksomheder kun er forpligtet til at udpege en DPO, når følgende tre betingelser er opfyldt:

  • Behandling af personoplysninger skal være virksomhedens kerneaktivitet.
  • Behandlingen af personoplysninger sker i stort omfang.
  • Virksomheden bruger personoplysningerne til at
    foretage regelmæssig og systematisk overvågning af registrerede personer eller
    behandle følsomme oplysninger eller oplysninger om strafbare forhold.

Behandlingshjemmel

Datatilsynet ønsker oplysning om de behandlingsaktiviteter, der fremgår af virksomhedens art. 30-fortegnelse.
Læs mere om art. 30-fortegnelsen

I den forbindelse bliver man bedt om at oplyse, hvilke typer af personoplysninger, der kan blive omfattet af den enkelte behandlingsaktivitet.

Derudover beder Datatilsynet også om at få oplyst, hvilken hjemmel virksomheden har til at foretage den konkrete behandlingsaktivitet, hvilket skal ske med henvisning til forordningen.

Læs forordningens art. 5, 6, 9, 10 og 11 med principper for lovlig behandling. 

Særligt ”opfyldelse af kontrakt” i art. 6, stk. 1, litra b er relevant for behandling af almindelige personoplysninger i forbindelse med ejendomsadministration.

De registreredes rettigheder

Datatilsynet ønsker oplysning om, hvordan virksomheden opfylder oplysningspligten, og hvad virksomhedens procedure er ved indsigtsanmodninger. Begge dele skal dokumenteres med eksempler på besvarelser af henvendelser.

Derudover ønsker Datatilsynet oplyst, hvilke procedurer virksomheden har ved anmodning om sletning, berigtigelse eller begrænsning af behandling.

Sluttelig spørges der ind til sagsbehandlingstiden ved henvendelser fra de registrerede.

Du kan læse mere om tilsyn på Datatilsynets hjemmeside