Artikle Image

GDPR - Året der gik

Datatilsynet har i 2020 foretaget en del opdateringer, samt udgivet deres nye strategi for data- og risikobaserede indsats fra 2020 til 2023, hvori de ligger stor vægt på gennemførsel af digitale tilsyn i meget nær fremtid.

Herunder kan ses nogle af de opdateringer, der er foretaget i 2020. 

 

Cookies - Behandling af personoplysninger om hjemmesidebesøgende

ePrivacy også kaldet Cookiebekendtgørelsen i Danmark, er under tilsyn fra erhvervsstyrelsen. Det er behandlingsdelen heraf gem og anvendelse iht. samtykke af cookies, som hører ind under Datatilsynet Læs deres vejledning.

 

Allerede i slutningen af juni 2020, begyndte datatilsynet at se på om websites overholdte samtykke iht. cookies herunder Dba.dk og det er bestemt noget de fremadrettede nemmere vil kunne føre tilsyn med, jf. deres egne ord omkring digitale tilsyn.

 

Den 10. december 2020 udtalte Datatilsynet alvorlig kritik af, at DGU Erhverv A/S ikke indhentede et gyldigt samtykke i forbindelse med DGU Erhverv A/S’ behandling af personoplysninger om de besøgende på www.golf.dk

 

Kort fortalt: Anvender din website cookies skal dine besøgende give accept før denne ligges på deres enhed. Hvis din website ikke anvender cookies (og det er der faktisk en del, som ikke gør), så redegør for det på siden under f.eks et Cookie- og privatlivspolitik menupunkt.

 

EU-domstol underkender Privacy Shield

Under den såkaldte Schrems II-sag den 16. juli 2020, underkendte EU-domstolen anvendelse af Privacy Shield, som værende hjemmel for overførselsgrundlaget til USA. Ordningen har ellers ca. 5.400 virksomheder tilsluttet, hvorved dommen har stor betydning.

 

Den korte version omkring, hvad virksomheden skal have styr på ved overførsel til tredjelande er at man skal sikre to ting, nemlig behandlingshjemmel og overførselsgrundlag (hjemmel for overførslen, hvilket tidligere til USA var Privacy Shield).

  

Behandlingshjemmel

Hvilken hjemmel anvendes der til at behandle personoplysningerne med. Her finder du en nem oversigt over hele lovgivningen omkring databeskyttelsesforordning

 

Overførselshjemmel

Her kan virksomheden anvende, Standard Contractual Clauses (SCC), på dansk, standardkontrakter – Ad hoc kontrakter (anbefales ikke over en længere periode) - Binding Corporate Rules (BCR), på dansk, Bindende virksomhedsregler og til sidst adfærdskodekser og certificeringsmekanismer, som først skal godkendes af Datatilsynet.

 

Så, husk at hvis virksomheden ønsker at overføre personoplysninger til lande uden for EU – såkaldte tredjelande – eller internationale organisationer, skal et af ovenstående nævnte anvendes.

 

Vær opmærksom på, at såfremt England ikke pr. 1. januar 2020 før enten en dispensation eller overgår som et sikret tredjeland, skal du også her anvende ovenstående.

 

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay

 

Endvidere er følgende områder og sektorer i tredjelande godkendt som sikre:

 

Australien, Overførsel af oplysninger om flypassagerer

Canada, Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)

USA, Overførsel af oplysninger om flypassagerer

Japan, Overførsel af oplysninger til (private) virksomheder og organisationer, der falder ind under den japanske Act on the Protection of Personal Information (APPI)

 

NB: Vær opmærksom på, at godkendelserne kan indeholde undtagelser på specifikke områder. 

 

Opdatering af fortegnelser

En af de helt store opdateringer datatilsynet har lavet i 2020 og som vil få direkte konsekvenser for en virksomhed, som endnu ikke har foretaget opdateringen er det spadestik dybere tilsynet er gået med deres seneste opdatering iht. de fortegnelser en virksomhed vil forespørgsel skal kunne fremvise datatilsynet.

 

Kort sag er fortegnelserne er en ”indekslignende” oversigt over hvilke personoplysninger virksomheden behandler, i hvilket systemet de opbevares og med hvem de deles.

 

Husk, at det yderlig er vigtigt at lave fortegnelserne alt efter om virksomheden i givende situation agere Dataansvarlig og /eller Databehandler. 

 

Vejledning om databeskyttelse og ansættelsesforhold revideret

En anden stor opdatering er databeskyttelse i forbindelse med ansættelsesforhold, som blev revideret den 1. december 2020, hvor der især ligges vægt på anvendelse af den oplysningspligt en virksomhed har over for medarbejdere ved brug af kontrolforanstaltninger (heraf f.eks GPS, kamera, IT-udstyr mv.).

 

Yderlig har man fokus på bl.a. opbevaring, videregivelse og sletning af personoplysninger, samt rettigheder for ansatte og for ansøgere til ledige stillinger.

 

Ny strategi for Datatilsynets data- og risikobaserede arbejde

Datatilsynet har udgivet deres til dato mest ambitiøse strategi med start her slut 2020 og frem til udgangen af 2023, hvor strategien bl.a. skal bidrage til, at tilsynets ressourcer anvendes bedst muligt.

 

Tilsynet skriver direkte; For at imødekomme disse krav, har tilsynet udarbejdet en ny strategi for en data- og risikobaseret indsats, der fremadrettet skal styrke tilsynets eget arbejde med at anvende data og sikre et øget fokus på en risikobaseret tilgang til myndighedsudøvelsen.

 

Strategien har et bredt sigte, og spænder fra små initiativer som f.eks. flere hjemmesidenyheder om den statistiske udvikling inden for bestemte områder til større initiativer om at udarbejde databaserede risikoprofiler for udvalgte virksomhedstyper og brancher,” siger kontorchef Frederik Viksøe Siegumfeldt, og fortsætter:

 

Samlet set vil vi også gerne gennem øget brug af data blive bedre til at yde konkret vejledning, hvor det giver størst værdi for borgerne og for samfundet som helhed. Samtidig skal vi sikre, at vi fører kontrol på netop de områder, hvor risikoen for overtrædelser er størst.

 

Kort resume er, at datatilsynet i meget nær fremtid (2021, red) ser på muligheden for at gennemføre digitale tilsyn med udvalgte virksomhedstyper og brancher, hvilket helt sikkert desværre stadigvæk vil blive en øjenåbner for enkelte danske virksomheder, som stadigvæk tror de ikke skal have styr på deres GDPR.

 

 

Uforpligtende samtale:

Kontakt os allerede i dag på 9310 2032 eller via peter @ansatte.dk og hør hvad du som virksomhed skal have styr på for at undgå sanktioner og /eller bøder. Det første telefonmøde er gratis og uforpligtende.

 

 

 

 

 

 

 

 

 

 

Bliv medlem

Seneste artikler

Følg os på
  • Facebook Icon
  • LinkedIn Icon
  • Youtube Icon
Kendt fra og citeret i bl.a.:
Ansatte ApS CVR DK 29135789 © I Alle priser er ekskl. moms I Nyvej 9, 4261 Dalmose