Risikorådgiveren #02, februar 2024
Datatilsynet
Leder, af Peter Oriat
Kære kolleger.
Flere og flere kommuner oplever at få sager med Datatilsynet omkring manglende overholdelse af datareglerne.
Sagerne drejer sig om beskyttelse af alle typer af persondata.
Datatilsynet er en uafhængig statslig myndighed, der organisatorisk henhører under Justitsministeriet, der dog ikke har instruktionsbeføjelse over myndigheden. Datatilsynet har til opgave at føre tilsyn med, at reglerne i Persondataforordningen og Databeskyttelsesloven overholdes.
I 1979 blev adgangen til at registrere og videregive personoplysninger fastlagt i Lov om offentlige myndigheders registre og lov om private registre. Reglerne blev lavet på baggrund af den stigende brug af elektronisk databehandling og computere i Danmark, der skabte en frygt i befolkningen for, at oplysningerne blev udnyttet på en måde, der krænkede borgernes personlige frihed og fred.
Formålet med reglerne var at sikre, at brugen af personoplysninger skete på en sådan måde, at den enkelte borgers retsbeskyttelse og integritet ikke blev krænket.
I 1990 fremsatte EF-Kommissionen et lovforslag til et EU-direktiv om at beskytte personoplysninger og sikre en fri udveksling af oplysninger i EU. Formålet var at ensrette beskyttelsen af alle EU-borgeres rettigheder, når deres personoplysninger blev behandlet– og ikke mindst sikre en fri udveksling af personoplysninger mellem alle EU-medlemslandene.
EU-direktivet blev vedtaget den 24. juli 1995 og trådte i kraft i Danmark som Persondataloven den 1. juli 2000.
Den teknologiske udvikling har skabt nye udfordringer for beskyttelsen af personoplysninger i Danmark og EU. Omfanget af indsamling og delingen af personoplysninger er vokset markant, hvor digitale teknologier har givet både private virksomheder og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang.
Denne udvikling mente EU’s medlemslande krævede en stærkere og mere sammenhængende databeskyttelseslovgivning, der samtidig blev understøttet af en effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig på det indre marked i EU. Det blev baggrunden for, at GDPR den 25. maj 2018 i Danmark erstattede reglerne i Persondataloven fra 2000.
GDPR står for "General Data Protection Regulation" og er på dansk også kendt som "Databeskyttelsesforordningen". Som de nyeste fælles EU-regler for databeskyttelse, gælder de for behandling af oplysninger om personer, som foretages af private virksomheder, offentlige myndigheder og foreninger mv. inden for EU.
Med GDPR har alle EU-borgere en række grundlæggende rettigheder i forhold til at få beskyttet sine personoplysninger.
Datatilsynet kan ved alvorlige overtrædelser af databeskyttelsesreglerne politianmelde data-ansvarlige eller data-behandlere og indstille dem til bøde.
På det seneste har Datatilsynet truffet afgørelser indenfor det kommunale område således:
I december 2023 har tilsynet udtalt kritik og alvorlig kritik af behandlingssikkerheden i 5 kommuner vedrørende IT-systemet AULA. Datatilsynet fandt anledning til at meddele påbud om udarbejdelse af konsekvensanalyser i to af sagerne.
I januar 2024 har Datatilsynet anmeldt en kommune til politiet med krav om bøde for ikke at leve op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen i forbindelse med en sag i den kommunale tandpleje omkring uvedkommendes adgang til tandplejens breve.
Pas godt på borgernes data – så vi undgår negativ omtale og bøder!