Danmark: Region Syddanmark får kritik för brister i personuppgiftsbiträdesavtal

Datatilsynet anser att det finns skäl att framföra kritik mot att Region Syddanmark, när det gäller personuppgiftsbiträdesavtal för ett forskningsprojekt och personuppgiftsbiträdesavtal med en av personuppgiftsbiträdena för ett annat forskningsprojekt, inte har visat att beslut fattats om kontrollnivån och att regionens riktlinjer för att fastställa kontrollnivån i det sammanhanget har följts.

Av beslutet framgår att Datatilsynet genomfört en skriftlig granskning av Region Syddanmark med fokus på behandlingen av personuppgifter inom forskningsområdet. Som en del av granskningen fick Datatilsynet bland annat en förteckning över pågående forskningsprojekt vid Region Syddanmark, en mer allmän förteckning över behandlingsverksamheter inom forskningsområdet i regionen samt regionens riktlinjer för personuppgiftsbiträdesavtal och kontroll av personuppgiftsbiträden. Datatilsynet valde ut tre forskningsprojekt som föremål för tillsynen inom områdena behandlingsgrund och ansvar och roller.

Datatilsynet fann ingen anledning att överpröva Region Syddanmarks bedömning av grunden för behandlingen av personuppgifter i de tre projekten. Datatilsynet kritiserade dock det faktum att regionen inte visat att den, i samband med två avtal om personuppgiftsbiträden, tagit ställning till på vilken nivå regionen, i egenskap av personuppgiftsansvarig, skulle kontrollera sina personuppgiftsbiträden. I detta sammanhang har Region Syddanmark enligt Datatilsynet inte heller lyckats visa att dess riktlinjer för kontroll av personuppgiftsbiträden följts.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GDPR

Sanktionsavgift: N/A

Mottagare: Region Syddanmark

Beslutsnummer: 2020-422-0026

Beslutsdatum: 2022-07-20

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.

04 MAJ

Artificiell intelligens
& personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv och ökar din kunskap om hur du ska kunna använda AI på ett lagenligt sätt.