DPO
Datatilsynet spørger ind til, om virksomheden har udpeget en databeskyttelsesrådgiver. Hvis ikke man har det, så vil Datatilsynet orienteres om begrundelsen her.
I den forbindelse skal det nævnes, at private virksomheder kun er forpligtet til at udpege en DPO, når følgende tre betingelser er opfyldt:
- Behandling af personoplysninger skal være virksomhedens kerneaktivitet.
- Behandlingen af personoplysninger sker i stort omfang.
- Virksomheden bruger personoplysningerne til at
foretage regelmæssig og systematisk overvågning af registrerede personer eller
behandle følsomme oplysninger eller oplysninger om strafbare forhold.
Behandlingshjemmel
Datatilsynet ønsker oplysning om de behandlingsaktiviteter, der fremgår af virksomhedens art. 30-fortegnelse.
Læs mere om art. 30-fortegnelsen
I den forbindelse bliver man bedt om at oplyse, hvilke typer af personoplysninger, der kan blive omfattet af den enkelte behandlingsaktivitet.
Derudover beder Datatilsynet også om at få oplyst, hvilken hjemmel virksomheden har til at foretage den konkrete behandlingsaktivitet, hvilket skal ske med henvisning til forordningen.
Læs forordningens art. 5, 6, 9, 10 og 11 med principper for lovlig behandling.
Særligt ”opfyldelse af kontrakt” i art. 6, stk. 1, litra b er relevant for behandling af almindelige personoplysninger i forbindelse med ejendomsadministration.
De registreredes rettigheder
Datatilsynet ønsker oplysning om, hvordan virksomheden opfylder oplysningspligten, og hvad virksomhedens procedure er ved indsigtsanmodninger. Begge dele skal dokumenteres med eksempler på besvarelser af henvendelser.
Derudover ønsker Datatilsynet oplyst, hvilke procedurer virksomheden har ved anmodning om sletning, berigtigelse eller begrænsning af behandling.
Sluttelig spørges der ind til sagsbehandlingstiden ved henvendelser fra de registrerede.
Du kan læse mere om tilsyn på Datatilsynets hjemmeside