Ny rapport om GDPR: Danmark i top-3 over flest persondatabrud

Niels, du anfører, at du har spurgt Datatilsynet om de kan behandle klager vedr. DPO uafhængighed. Umiddelbart er det min holdning, at Datatilsynet ikke skal spørges om de vil behandle en klage. Enten sender man en skriftlig klage, som herved kan dokumenteres at være sendt, hvornår og til hvem eller også dropper man emnet.

Thomas Leonardo Pedersen, Måske kan du sige noget om lovligheden af denne DPO praksis: I min kommune, Frederiksberg, sker der det, at når man skriver til DPO'en på den af kommunen offentliggjorte kontakt addresse til deres Databeskyttelsesrådgiver, så bliver emailen først modtaget af en chefkonsulent som er "Koordinator for GDPR og databeskyttelse" og ansat i "It og Digitalisering, Kommunaldirektørområdet" indenfor kommunen. Og først derefter vidresendes borgerens email til den rigtige, udpegede DPO, som er outsourcet til et revisionsfirma.

Når svaret fra DPO'en kommer tilbage, så går det igen igennem denne ansatte, som vidresender den til borgeren, og på en måde så man aldrig får DPO'en email address at se.

Ifølge afsnit 2.6 i "Retningslinjer for databeskyttelsesrådgivere",https://www.datatilsynet.dk/media/6837/databeskyttelsesraadgivere-dpo-er-wp243.pdffremgår det at:

"Offentliggørelse og meddelelse om databeskyttelsesrådgiverens kontaktoplysninger Artikel 37, stk. 7, i databeskyttelsesforordningen kræver, at den dataansvarslige eller databehandleren: offentliggør databeskyttelsesrådgiverens kontaktoplysninger meddeler databeskyttelsesrådgiverens kontaktoplysninger til de relevante tilsynsmyndigheder. Formålet med disse krav er at sikre, at de registrerede (både i og uden for organisationen) og tilsynsmyndighederne nemt og direkte kan kontakte databeskyttelsesrådgiveren uden at behøve kontakte nogen anden del af organisationen. Fortrolighed er et lige så vigtigt punkt: For eksempel kan medarbejdere være tilbageholdende med at klage til databeskyttelsesrådgiveren, hvis fortroligheden i deres kommunikation ikke er sikret."

Jeg har sprugt Datatilsynet om de kan behandle klager vedr. en DPO's uafhængighed, med tilsynet siger at det er uden for deres område.

Måske nogen her har et bud på hvor man så kan henvende sig. Jeg har endnu ikke modtaget noget svar fra kommunen vedr. dette problem.

Fremfor at kende antallet af anmeldelser, ville antallet af afgørelser være langt mere retvisende. Dette survey ligner lidt opgørelsen af hvem der har det største affaldsproblem af alle lande, hvor DK ligger i top jvf. hvor meget affald der samles ind - det er lige så bagvendt som GDPR opgørelsen

I vores arbejde med at udbrede kendskabet til mit firmas GDPR videoplatform VideoTool SECURE, ringer vi rundt til kommuner og styrelser mf.. Det er jo salgsarbejde vi laver, men når vi snakker med de ansvarlige på de respektive arbejdspladser, bliver vi nogle gange nødt til at rive os selv i håret efterfølgende. Vores løsning er IT revideret og ISAE 3000 certificeret. Der er sikret App til og 2-faktor login mm. Alt er på danske servere mm. Nogle af de kommuner vi snakke med er helt i top hvad angår compliance, og tager det enormt alvorligt, og så møder vi andre, hvor deres DPOer (eller mangel på samme) kan sige at "videooptagelse med personfølsomme data, det lader vi medarbejderne selv finde løsninger på" underforstået at der benyttes Dropbox, WeTransfoer, Office 365 og sågar YouTube. I mit hoved giver det ingen mening at der ikke i KL eller fra Datatilsynets side, er udarbejde fælles retningslinjer for hvordan offentlige myndigheder skal håndtere dette problem. Fælles standarder og måske guide myndighederne - og private institutioner i hvordan man overholder GDPR. Gerne med forslag til konkret anvendelse af godkendte værktøjer og softwareløsninge. Det er ikke nok at sende dem forordningen til gennemlæsning og egen fortolkning.

Hurra, vi er førende indenfor IT!

Datatilsynet er angiveligt en uafhængigt tilsynsmyndighed, og består af Datarådet og dets sekretariat.

Men en interessant detalje er at alle Datarådets medlemmer udpeges af Justitsministeren, pånær to. De sidte to udpeges af Erhvervsministeren.

Alle rådets medlemmer skal i øvrigt sikkerhedsgodkendes, hvilket nok kan give en vis mening, da de kan få indsigt i følsomme data, men dette kan nok også udelukke mange som offentligt måtte have ytret afvigende holdninger om borgernes rettigheder i forhold til statens.

er der naturligvis færre overtrædelser. Så jo Danmark har en alvorlig udfordring!

...ville være: "Ny rapport om GDPR: Danmark i top tre over flest rapporterede persondatabrud"

Og det er jo godt og/eller skidt :-()