Datatilsynets fokusområder 2025: Få overblik over, hvor du skal sætte ind

Datatilsynets udvalgte fokusområder

Datatilsynet har udvalgt 8 områder, som de planlægger tilsynsaktivitet inden for i 2025.

I det følgende kan du læse mere om de udvalgte fokusområder, og hvad du skal være særligt opmærksom på.

Beskyttelse af børn

Her er fokus særligt på:

• Skolefotos og fordeling af ansvar mellem fotografen og skolen
• Procesbeskrivelse for håndtering af personoplysninger om børn og elever

Datatilsynet vil i 2025 have fokus på rollefordeling mellem databehandler og dataansvarlig samt håndtering af personoplysninger i forbindelse med skolefotos. Datatilsynet har udtaget området som følge af, at de jævnligt modtager henvendelser om skolefotos, herunder særligt fordeling af ansvar mellem fotografen og skolen.

Hvis du er en offentlig myndighed, såsom en skole, børnehave eller anden uddannelsesinstitution bør du sørge for at have politikker på plads for bl.a. sletning af skolefotos og procesbeskrivelser for håndteringen af personoplysninger om børn og elever.

Husk at børn nyder særlig beskyttelse efter GDPR, idet børn ofte er mindre bevidste om de pågældende risici, konsekvenser og rettigheder.

Digital tracking i det virkelige liv

Her er fokus særligt på:

• Apps, herunder indkøbsapps
• Profilering i forbindelse med belønninger som tilbud og point

Datatilsynet ønsker at sætte fokus på indsamling og videregivelse af personoplysninger via apps, herunder indkøbsapps.

Baggrunden herfor er, at der ses en ændring i udviklingen og anvendelsen af disse apps, hvor der indsamles og videregives et stort antal personoplysninger om brugerne.

Tilbyder din virksomhed eller organisation en app, der eksempelvis giver belønninger i form af tilbud eller point på baggrund af en bestemt køberadfærd, så skal du sørge for at have styr på reglerne i GDPR om bl.a. profilering. 

Du bør desuden forholde dig til dit behandlingsgrundlag – det vil sige din hjemmel for at behandle disse personoplysninger. 

Hvis du vil vide mere om profilering, anbefales det at læse EDPB’s retningslinjer om profilering 

Registreredes ret til sletning

Her er fokus særligt på:

• Anmodninger om sletning
• Procesbeskrivelse for håndteringen af anmodningerne

Datatilsynet deltager i et europæisk samarbejde om styrket håndhævelse af GDPR med særligt fokus på behandling af anmodninger om sletning fra registrerede.

Uanset om du er en offentlig eller privat aktør, bør du som minimum have en procesbeskrivelse for håndteringen af sådanne anmodninger.

Adgangsstyring til FMK

Her er fokus særligt på:

• Brug af personlige login-oplysninger

FMK – Det fælles Medicinkort – giver borgere og sundhedsprofessionelle adgang til oplysninger om borgerens medicin og vaccinationer.

I 2025 ønsker Datatilsynet at sætte fokus på adgangsstyringen til FMK, idet Datatilsynet i forbindelse med konkrete sager er blevet opmærksom på, at der sker deling af adgange til systemet blandt medarbejdere i samme klinik.

Formålet er at sikre korrekt brug af personlige login-oplysninger til Det Fælles Medicinkort.

Vi har tidligere set Datatilsynet håndhæve GDPR overfor privathospitaler, se evt. Datatilsynets bødeindstilling til Privathospitalet Capio A/S

Kunstig intelligens

Her er fokus særligt på:

• Databeskyttelse ved brug af generativ AI
• Risikovurderinger inden udvikling af ny teknologi
• Skærpelse omkring følsomme personoplysninger ved profilering

Kunstig intelligens var også et fokusområde i 2024, og det kommer nok ikke som nogen overraskelse, at AI igen i år er udvalgt som et af Datatilsynets fokusområder.

I år vil Datatilsynet særligt sætte fokus på databeskyttelse ved brug af generativ AI, især i sundhedssektoren, hvor AI bruges som beslutningsstøtte i patientbehandling. Som vi ser i forbindelse med Datatilsynets fokus på indkøbsapps, er det overordnede emne altså profilering.

Mindst lige så vigtigt er emnet risikovurderinger inden udvikling af ny teknologi. Dette må om nogen være tilfældet med AI-værktøjer.

Bemærk også den særlige skærpelse omkring følsomme personoplysninger, når der sker profilering.

Retshåndhævelsesloven

Her er fokus særligt på:

• Retshåndhævende myndigheders brug af blandt andet ansigtsgenkendelse og AI

Et af Datatilsynets fokusområder i 2024 var retshåndhævelsesloven.

I år vil Datatilsynet sætte fokus på de retshåndhævende myndigheders brug af personoplysninger og implementering af nye teknologier som ansigtsgenkendelse og AI.

Dette kommer alene til at påvirke offentlige myndigheder, herunder eksempelvis politiet.

Fælleseuropæiske informationssystemer

Her er fokus særligt på:

• Offentlige myndigheders brug af fælleseuropæiske informationssystemer
• Risikovurderinger og fortegnelser

Datatilsynet ønsker også at føre tilsyn med danske myndigheders brug af de fælleseuropæiske informationssystemer såsom bl.a. Schengen-samarbejdet (SIS), Visuminformationssystemet (VIS) og EU-fingeraftryksregistret (EURODAC).

Hvis du som offentlig myndighed benytter dig af et af disse systemer, kan du derfor forvente et øget fokus – og eventuelt et tilsyn – fra Datatilsynet.

Vi anbefaler, at du og din organisation som minimum har udarbejdet risikovurderinger på brugen af systemerne samt udarbejdet fortegnelser, der beskriver behandlingen.

Fælles tilsyn med Finanstilsynet

Her er fokus særligt på:

• Koordinering og forenkling af tilsyn med overlappende regler

Datatilsynet vil i 2025 undersøge muligheden for et fælles tilsyn med Finanstilsynet for at koordinere og forenkle tilsyn på områder med overlappende regler.

Et fælles tilsyn er relevant for bl.a. pengeinstitutter og forsikringsselskaber.

Datatilsynet har ikke angivet nærmere i henhold til hvilke emner, de vil undersøge nærmere under et eventuelt tilsyn.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Er du i tvivl om, hvad Datatilsynets fokusområder for 2025 betyder for dig, og hvordan du forbereder dig på et tilsyn, så er du altid velkommen til at kontakte vores specialister i GDPR.