L’autorité danoise de protection des données a effectué six inspections planifiées en mettant l’accent sur la surveillance exercée par les autorités sur les sous-traitants. L’autorité norvégienne de protection des données a trouvé des raisons d’exprimer des critiques dans un cas.
À l’automne 2021, l’autorité danoise de protection des données a lancé des inspections écrites des six autorités nationales suivantes concernant leurs sous-traitants :
- Département du Ministère de l’Emploi
- Conseil du personnel du ministère de la Défense
- Accueil Agence de Voyage
- L’administration fiscale
- La Commission du Recrutement et de l’Intégration Internationale
- L’Agence danoise des données sur la santé
Cependant, afin de sélectionner les sous-traitants concernés, l’autorité danoise de protection des données a initialement demandé à recevoir une liste des sous-traitants auxquels les autorités confient des informations sensibles et/ou confidentielles.
Sur la base des listes soumises, l’Autorité de protection des données a sélectionné 1 à 2 sous-traitants dans chaque autorité, ce que l’Autorité de protection des données a procédé dans le cadre du contrôle par l’autorité de ces sous-traitants.
À cet égard, l’autorité norvégienne de protection des données a demandé aux autorités de répondre à :
- s’ils avaient un plan de supervision des sous-traitants sélectionnés, y compris leurs considérations sur la fréquence et ce qui est surveillé,
- si les autorités avaient surveillé les sous-traitants sélectionnés, et
- comment les autorités avaient donné suite aux inspections réalisées auprès des sous-traitants.
Dans cinq cas, l’autorité danoise de protection des données n’a trouvé aucune raison de passer outre l’évaluation des responsables du traitement selon laquelle leur surveillance de leurs sous-traitants avait eu lieu conformément aux règles de protection des données.