Datatilsynet på tilsynsbesøg

Hvad spørger Datatilsynet om, når de kommer på besøg?

Som tilsynsmyndighed er det en af Datatilsynets opgaver at føre tilsyn med virksomheders efterlevelse af reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Derfor foretager Datatilsynet en række tilsyn med både offentlige og private virksomheder.

Datatilsynet har været på en række tilsynsbesøg, og vi begynder nu at få et overblik over, hvad Datatilsynet er interesserede i, når de kommer på tilsyn. De har offentliggjort nogle af de spørgeskemaer, som har været anvendt ved tilsynsbesøg i 2018 og 2019. Nedenfor kan du få et overblik over nogle af de spørgsmål, jeres virksomhed kan blive stillet ved et tilsyn.

Naturligvis er der forskel på de spørgsmål, der bliver stillet til de enkelte tilsyn, men det kan være en god forberedelse til et tilsynsbesøg at være opmærksom på, hvad der kan blive spurgt om.

Se eksempler på spørgeskemaerne her

Det er vigtigt at understrege, at spørgeskemaerne ikke kan bruges som en afgrænset tjekliste, men alene giver et indblik i omfanget af et tilsynsbesøg.

Tilsynsstrategi

Datatilsynet kan både komme på ad hoc tilsyn, der iværksættes som følge af konkrete hændelser og planlagte tilsyn som led i Datatilsynets årlige tilsynsplanlægning.

Ad hoc tilsyn iværksættes, når Datatilsynet selv bliver opmærksom på sager, eller når borgere og/eller pressen informerer tilsynet om forhold, der skønnes at være så alvorligt, at en sag bør indledes.

Ved de planlagte tilsyn udarbejder Datatilsynet ”tilsynsstrategier”, som fastsætter rammerne for den pågældende virksomhed. I sidste halvår af 2018 havde Datatilsynet fokus på emner som sletning, kryptering af emails, behandlingsgrundlag og brud på persondatasikkerheden. I første halvår af 2019 har der igen været fokus på bl.a. persondatasikkerheden, kryptering af e-mails og den registreredes indsigtsret, mens der i andet halvår af 2019 vil være fokus på databehandlere, underdatabehandlere, daglig overvågning af registrerede, automatiske afgørelser (profilering) og databeskyttelse i ansættelsesforhold.

Sidstnævnte fokusområde kan du finde mere information om i artiklen “Husker I også medarbejdernes rettigheder?”, som er skrevet af advokat Malene Raunholt og advokatfuldmægtig Marie-Louise Uglebjerg Hansen.

Spørgeskemaer

Datatilsynet har overordnet set to muligheder for at efterleve tilsynsforpligtelsen. For det første kan Datatilsynet kræve enhver oplysning, der har betydning for tilsynsvirksomheden (oplysningsindsamling – anvendelse af spørgeskemaer), og for det andet har tilsynet ret til – uden retskendelse – at få adgang til lokaler, hvor der behandles personoplysninger (det egentlige tilsynsbesøg).

Som udgangspunkt varsles et tilsyn ca. fire uger i forvejen, og forud vil Datatilsynet ofte fremsende et spørgeskema, som den dataansvarlige skal besvare og returnere til Datatilsynet inden besøget.

Af de offentliggjorte eksempler på spørgeskemaer kan det udledes, at Datatilsynet er meget konkrete og stiller dybdegående spørgsmål til de enkelte fokusområder. Det er derfor vigtigt, at virksomheden forud for et tilsyn sikrer, at det er de rigtige personer, der deltager i tilsynet, sådan at spørgsmålene bliver besvaret korrekt.

Pligter ved et tilsynsbesøg

I forbindelse med et tilsyn er virksomheden forpligtet til på Datatilsynets anmodning at afgive enhver oplysning, som er nødvendig for, at tilsynet kan gennemføres.

Det indebærer bl.a., at der skal gives adgang til alle adspurgte lokaler, gives adgang til databehandlingssystemer, herunder hardware som computere, tablets og mobiltelefoner.

Repræsentanter fra Datatilsynet skal derfor gives adgang til alle lokaler, hvor der behandles personoplysninger – dette uden en retskendelse.

Rettigheder ved et tilsynsbesøg

Når Datatilsynet gennemfører tilsynsbesøg sker det i overensstemmelse med beskyttelsesreglerne i retssikkerhedsloven, hvilket betyder, at hvis Datatilsynet har en konkret mistanke om, at der er begået en lovovertrædelse, der kan medføre straf, kan Datatilsynet ikke kræve oplysningerne udleveret. Datatilsynet har i sådanne situationer om konkret mistanke pligt til at vejlede om retten til ikke at udtale sig i overensstemmelse med retten til ikke at inkriminere sig selv.

Hvordan kan I forberede et besøg fra Datatilsynet?

Allerede ved varsling om et forestående tilsyn er det en god ide at gøre sig overvejelser om hvilke personer, der skal involveres i tilsynsbesøget, herunder besvare eventuelle fremsendte spørgeskemaer og særligt spørgsmål om den tekniske del af virksomhedens IT-infrastruktur.

I kan med fordel kontakte en rådgiver forud for et tilsyn og bede dem være tilstede under tilsynsbesøget. På den måde kan repræsentanterne fra virksomheden have fuld fokus på at besvare Datatilsynets spørgsmål, imens rådgiveren sikrer, at jeres rettigheder overholdes.

Hos Kielberg Advokater bistår vi jer gerne i processen omkring tilsynsbesøg både før, under og efter Datatilsynet har været på besøg. Har I brug for at få gennemgået jeres procedurer i forbindelse med databeskyttelsesreglerne, så kontakt os for en dialog om jeres behov, og hvordan vi bedst muligt kan hjælpe jer med at efterleve databeskyttelsesreglerne, så I er forberedt den dag, I bliver varslet et besøg fra Datatilsynet.

Om Forfatteren

Nis Stemann Knudsen
Marie-Louise Uglebjerg Hansen