Danmark: Region Syddanmark får kritik för brister i personuppgiftsbiträdesavtal

Datatilsynet anser att det finns skäl att framföra kritik mot att Region Syddanmark, när det gäller personuppgiftsbiträdesavtal för ett forskningsprojekt och personuppgiftsbiträdesavtal med en av personuppgiftsbiträdena för ett annat forskningsprojekt, inte har visat att beslut fattats om kontrollnivån och att regionens riktlinjer för att fastställa kontrollnivån i det sammanhanget har följts.

Av beslutet framgår att Datatilsynet genomfört en skriftlig granskning av Region Syddanmark med fokus på behandlingen av personuppgifter inom forskningsområdet. Som en del av granskningen fick Datatilsynet bland annat en förteckning över pågående forskningsprojekt vid Region Syddanmark, en mer allmän förteckning över behandlingsverksamheter inom forskningsområdet i regionen samt regionens riktlinjer för personuppgiftsbiträdesavtal och kontroll av personuppgiftsbiträden. Datatilsynet valde ut tre forskningsprojekt som föremål för tillsynen inom områdena behandlingsgrund och ansvar och roller.

Datatilsynet fann ingen anledning att överpröva Region Syddanmarks bedömning av grunden för behandlingen av personuppgifter i de tre projekten. Datatilsynet kritiserade dock det faktum att regionen inte visat att den, i samband med två avtal om personuppgiftsbiträden, tagit ställning till på vilken nivå regionen, i egenskap av personuppgiftsansvarig, skulle kontrollera sina personuppgiftsbiträden. I detta sammanhang har Region Syddanmark enligt Datatilsynet inte heller lyckats visa att dess riktlinjer för kontroll av personuppgiftsbiträden följts.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 9 GDPR

Sanktionsavgift: N/A

Mottagare: Region Syddanmark

Beslutsnummer: 2020-422-0026

Beslutsdatum: 2022-07-20

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.