Nyt fra Datatilsynet

Ny revisorerklæring om persondata

Ifølge databeskyttelsesforordningen skal dataansvarlige indgå en databehandleraftale, hvis de benytter sig af en databehandler. Derudover er de forpligtede til efterfølgende at kontrollere behandlingen af personoplysningerne hos databehandleren. Det kan blandt andet gøres ved brug af en revisorerklæring.

Datatilsynet og FSR – danske revisorer har sammen udgivet en erklæring om persondata, som skal give den dataansvarlige sikkerhed for, at en databehandler overholder databeskyttelsesreglerne. Erklæringen er dog kun til inspiration, hvorfor den dataansvarlige skal være opmærksom på eventuelt behov for tilpasninger.

Læs mere om baggrunden for erklæringen: FSR lancerer på baggrund af samarbejde med Datatilsynet ny erklæring om persondata.

Datatilsynet udtaler sig om sletning

Datatilsynet har for nylig udgivet en artikel om sletning, hvor Datatilsynet blandt andet angiver, hvad sletning er, og hvornår sletning skal finde sted.

Kort sagt indebærer sletning, at personoplysningerne ikke længere er tilgængelige og derfor heller ikke længere kan tilgås. Det svære spørgsmål for mange dataansvarlige er, hvor længe man må opbevare personoplysninger, da der kun står i databeskyttelsesforordningen, at personoplysningerne skal slettes, når disse ikke længere er nødvendige; altså uden angivelse af mere konkrete slettefrister.

På baggrund af formålene med behandlingen af personoplysningerne skal den dataansvarlige derfor vurdere, hvornår personoplysningerne ikke længere er nødvendige og skal slettes. Det kan være meget vanskeligt, hvis der eksempelvis ikke er særlove, der angiver, hvor længe den dataansvarlige som minimum skal behandle en række konkrete personoplysninger (såsom bogføringsloven eller arkivloven).

Når en sletning er gennemført, er det desuden vigtigt, at man følger op for at sikre, at sletningen er udført korrekt, og at der ikke opbevares personoplysninger, der er unødvendige i forbindelse med behandlingen. Opfølgningen kan eksempelvis ske ved en gennemgang af tekniske logs fra sletninger.

Ifølge Datatilsynet indebærer slettepligten også, at personoplysninger skal slettes fra backups, hvis dette er teknisk muligt. Hvis det ikke er teknisk muligt, så er den dataansvarlige forpligtet til at sikre sig, at de personoplysninger, der er slettet fra systemet, også fjernes, hvis en backup genetableres.

I den forbindelse kan det være nødvendigt at føre en log over sletninger, der er udført i systemet efter det tidspunkt, hvor en backup blev oprettet. Det er vigtigt, at loggen ikke indeholder direkte personhenførbare oplysninger, men i stedet eksempelvis angiver, at en given kolonne i en tabel er slettet på et nærmere bestemt tidspunkt.

Læs Datatilsynets artikel.

Ny vejledning skal hjælpe foreninger

I samarbejde med Datatilsynet har Justitsministeriet offentliggjort en vejledning om frivillige foreningers behandling af personoplysninger. Vejledningen svarer på ofte stillede spørgsmål og kan hjælpe frivillige foreninger og organisationer med at overholde reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Læs vejledningen.

Endelig liste over konsekvensanalyse

I november 2018 fremlagde Datatilsynet sit udkast til en liste over behandlingsaktiviteter for Det Europæiske Databeskyttelsesråd. Listen indebærer aktiviteter, som anses for at indebære en så høj risiko for de registrerede, at den dataansvarlige altid skal udarbejde en konsekvensanalyse forud for behandlingen.

Nu har Datatilsynet udgivet en endelig liste over sådanne behandlingsaktiviteter, som dog ikke kan anses for en udtømmende opregning. Hvis behandlingen sandsynligvis vil medføre en høj risiko for de registrerede, skal en dataansvarlig derfor stadig udarbejde en konsekvensanalyse, selv om behandlingsaktiviteten ikke er medtaget på listen.

På nuværende tidspunkt har Datatilsynet ikke planlagt at udarbejde en liste over de typer af behandlingsaktiviteter, der ikke kræver udarbejdelse af en konsekvensanalyse, hvilket ellers også er en mulighed efter databeskyttelsesforordningen.