Er vi klar til datatilsyn?

I dag er data en uvurderlig ressource for virksomheder. At samle, behandle og bruge data er centralt for at drive og udvikle en virksomhed. Det er samtidig også et enormt ansvar. Hvert år foretager Datatilsynet både planlagte og uanmeldte tilsyn hos både offentlige myndigheder og private virksomheder. Et datatilsyn kan have alvorlige konsekvenser, hvis man ikke har styr på sin compliance.

Denne blog handler om, hvad I kan forvente af et datatilsyn, og hvordan I kan forberede jer.

Bliver jeres virksomhed udvalgt, får I som regel besked på forhånd sammen med en orientering om de primære fokusområder for tilsynet. Under besøget har Datatilsynet ret til at inspicere jeres lokaler, IT-systemer og dokumentation. De kan kræve adgang til alle relevante oplysninger, der er nødvendige for deres kontrol. Dog skal de overholde principperne om proportionalitet og følge gældende procedurer ved inspektion af områder, der ikke er offentligt tilgængelige.

Det er vigtigt at vide, at Datatilsynet ikke kan kræve oplysninger, hvis der er en konkret mistanke om en lovovertrædelse, der kan føre til straf. I har altså ret til ikke at inkriminere jer selv. Hvis Datatilsynet konstaterer brud på GDPR, kan de pålægge jeres virksomhed påtaler, påbud eller bøder – alt afhængigt af overtrædelsens alvor. Skulle I være uenig i deres afgørelse, har I mulighed for at indbringe sagen for domstolene.

Datatilsynet kan stille forskellige spørgsmål ved et datatilsyn, afhængigt af virksomhedens aktiviteter og formål med behandling af persondata. Nogle af de spørgsmål, som Datatilsynet typisk vil stille under et datatilsyn, kan omfatte:

• Hvorfor indsamler I personoplysninger og til hvilket formål?
• Hvilken type personoplysninger behandler I?
• Hvordan opbevares og beskyttes persondata?
• Hvornår slettes persondata?
• Hvilken IT-sikkerhed har I til at beskytte personlige data?
• Har I udpeget en GDPR-ansvarlig, og hvilken rolle spiller vedkommende i forhold til håndtering af personoplysninger?
• Har I dokumenteret og vurderet risici ved behandling af personoplysninger, og er der gennemført en databeskyttelseskonsekvensanalyse (DPIA)?
• Hvordan reagerer I på anmodninger om persondata fra jeres kontakter?
• Har I informeret de registrerede personer om deres rettigheder og om, hvordan deres personoplysninger behandles?
• Har I informeret jeres medarbejdere om de interne retningslinjer for databeskyttelse og om deres ansvar og forpligtelser?
• Driver I jeres virksomhed i flere lande?

Disse spørgsmål er ikke udtømmende og kan variere afhængigt af virksomhedens specifikke aktiviteter og databehandlingspraksis. Datatilsynet vil typisk også undersøge virksomhedens dokumentation og politikker for at sikre, at der er overensstemmelse mellem hvad virksomheden gør, og hvad den siger, at den gør.

For at forberede jer bedst muligt på et datatilsyn er det vigtigt at have en klar og sammenhængende plan for, hvordan man håndterer persondata i virksomheden. Her er nogle tiltag, som kan hjælpe med at forberede jer:

1. Sæt jer ind i loven Det første skridt i forberedelsen på et datatilsyn er at sikre, at I har en god forståelse af de lovgivninger, der gælder for jer.
2. Gennemgå data. Identificer hvilke typer persondata I behandler, hvor data kommer fra, hvordan de behandles, og hvem der har adgang til dem.
3. Opdater IT, politikker og procedurer. Gennemgå og opdater virksomhedens IT, politikker og procedurer for databeskyttelse. Identificer sårbarheder og opdater jeres praksis, så det afspejler de gældende lovkrav på området.
4. Vurder risici. Identificer og vurder risiciene ved behandling af persondata, og foretag en konsekvensanalyse for databeskyttelse for at sikre, at man har styr på eventuelle risici og konsekvenser ved databrud.
5. Uddan medarbejdere. Sørg for, at alle medarbejdere i virksomheden er uddannet i databeskyttelse, og at de forstår deres ansvar og forpligtelser i forhold til behandling af persondata.
6. Dokumentation. Dokumenter alle beslutninger, procedurer og aktiviteter i forbindelse med behandling af persondata.

Ved at følge disse skridt, kan I bedre forberede jer på et datatilsyn – og compliance generelt.

At forberede sig på et datatilsyn kan være en omfattende opgave. For at stå stærkt skal I kunne dokumentere, hvilke persondata I har, hvor de ligger, og hvordan de behandles. En GDPR Risikovurdering gør denne proces langt hurtigere og mere præcis, fordi den giver et struktureret overblik over persondata på tværs af jeres systemer. Når I ved, hvilke filer, mails og dokumenter der indeholder personoplysninger, får I det nødvendige grundlag for at rydde op, minimere datamængden samt sikre dokumentation og compliance før et datatilsyn.

• Datatilsynet: Generelt om tilsyn

• Datatilsynet: Vejledning om tilsyn med databehandlere

• Datatilsynet: Særlige fokusområder for tilsynsaktiviteter