Hjemmel til behandling af almindelige personoplysninger
Det er et centralt krav i databeskyttelsesforordningen, at man altid skal have en hjemmel til at behandle personoplysninger. Man må altså ikke behandle personoplysninger uden at have en hjemmel hertil.
Det er afgørende at have kendskab til hvilke personoplysninger du behandler, da disse kræver forskellige hjemler alt efter om der fx behandles almindelige eller følsomme personoplysninger. Dette kræver først og fremmest, at du ved hvad personoplysninger er, samt hvilke personoplysninger du behandler i din organisation.
6 Hjemler
Databeskyttelsesforordningen kræver, at du altid har et lovligt grundlag for at behandle personoplysninger, som beskrevet i artikel 6, stk. 1. Dette gælder uanset, om der er tale om almindelige eller følsomme oplysninger. Her gennemgår vi de seks hjemmelsgrundlag, så du kan vælge det, der passer bedst til din behandling.
Samtykke (artikel 6, stk.1, litra a.)
Du kan behandle personoplysninger om en person, hvis denne har givet samtykke til dette.
Artikel 6, stk. 1, litra a. angiver, at personoplysninger kan behandles, hvis: “den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.”
For at et samtykke kan være gyldigt, skal det opfylde de krav, der er angivet i artikel 7 i databeskyttelsesforordningen, hvilket gennemgås herunder:
Påvise
Du skal kunne påvise, at en person har givet samtykke til, at du kan behandle deres personoplysninger. Det vil typisk kunne gøres ved at have skriftlig dokumentation for at samtykket er givet. Det kan dog også demonstreres ved andre metoder, fx hvis det kan demonstreres, at en handling i et IT-system udelukkende kan gennemføres af vedkommende, hvis de har givet samtykke hertil.
Specifikt
Et samtykke skal være specifikt, dvs. at det skal gives til en specifik behandling, og det skal være klart adskilt fra andre behandlinger, som du ønsker at bede om samtykke til. Hvis du fx ønsker at foretage 2 behandlinger om en person, og du blot beder om 1 samtykke, så er dette ikke gyldigt. Man skal specifikt kunne sige hhv. ‘ja’ og ‘nej’ til de 2 forskellige behandlinger.
Tilbagetrækning af samtykke
Vedkommende skal altid kunne trække sit samtykke tilbage, og tilbagetrækningen skal være lige så let, som det var at give samtykket i første omgang. Hvis et samtykke tilbagetrækkes, så skal du ophøre behandlingen af vedkommendes personoplysninger, og slette deres data jf. din slettepolitik.
Frivilligt
Et samtykke skal være frit.
Et samtykke givet under enhver form for tvang er åbenlyst ikke et samtykke. Et samtykke kan derfor sjældent være gyldigt, hvis der fx allerede findes en kontrakt mellem 2 parter eller i øvrigt er et ulige magtforhold mellem 2 parter. I sådanne situationer kan anden hjemmel anvendes fx en kontrakt.
Praktisk efterlevelse
Hvis du vil bruge et samtykke som dit behandlingsgrundlag, så skal du have dette samtykke på plads inden behandlingen foretages. I det øjeblik, at du beder om samtykket, så har du også pligt til at følge databeskyttelsesforordningens krav til at oplyse klart og tydeligt om behandlingen (artikel 12 og 13). Dernæst skal du sikre dig, at du efterlever kravene angivet ovenover til fx at kunne påvise, at du har et gyldigt samtykke.
Eksempler
Nyhedsbrev
Du har formentlig prøvet at tilmelde dig et nyhedsbrev, og denne behandling af personoplysninger (mailadresse) sker typisk på frivillig basis ved, at du aktivt tilmelder dig. Hjemlen til at foretage denne behandling sikres typisk ved at bede om dit samtykke i tilmeldingsprocessen. Du kan tjekke, at vi gør det rigtigt ved at tilmelde dig vores nyhedsbrev, hvor vi også beder dig om samtykke for at kunne udsende dette.
HR
Samtykke bruges sjældent som grundlag i ansættelsesforhold, da det ulige magtforhold mellem arbejdsgiver og medarbejder gør det svært at sikre, at samtykket er frivilligt. Arbejdsgiveren bør derfor som hovedregel søge en anden hjemmel til behandling af personoplysninger, hvilket ofte kan findes i kontraktforholdet med den ansatte eller arbejdsgiverens legitime interesse.
Kontrakt (artikel 6, stk.1, litra b.)
Du kan behandle personoplysninger, hvis en kontrakt indebærer, at behandlingen af personoplysninger er nødvendig.
Artikel 6, stk. 1, litra b. angiver, at du kan behandle personoplysninger når “behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt”.
Det kan også være nødvendigt at behandle personoplysninger inden, at en kontrakt officielt er indgået, og her kan dette behandlingsgrundlag stadig bruges. Der er ofte en periode med dialog og research omkring en kontrakt inden, at den indgås, og her kan denne hjemmel altså bruges så længe at behandlingen relaterer sig til kontrakten.
Eksempler
Herunder kan du læse nogle eksempler på, hvordan en kontrakt kan anvendes som behandlingsgrundlag.
HR
En ansættelseskontrakt kan bruges som grundlag for behandling af personoplysninger, hvis det er nødvendigt for at opfylde kontrakten. En arbejdsgiver er fx nødsaget til at behandle en medarbejders løn- og kontooplysninger for at kunne udbetale løn jf. ansættelseskontrakten.
Webshop
En webshop behandler kundens oplysninger (fx navn, leverings- og betalingsoplysninger) for at levere de købte varer eller tjenester, jf. webshoppens handelsbetingelser.
Medlemskab af et fitnesscenter
Et fitnesscenter behandler medlemmers oplysninger som led i medlemsaftalen. Dette inkluderer at registrere medlemskab, administrere betalinger og give adgang til træningsfaciliteter og events, der er en del af medlemskabet.
Serviceaftale med en elektriker
En elektriker behandler kundens oplysninger (fx navn og adresse) som led i en serviceaftale for at planlægge og udføre vedligeholdelse af elektriske installationer.
Retlig forpligtelse (artikel 6, stk.1, litra c.)
Du kan være nødsaget til at behandle personoplysninger for at kunne efterleve en retlig forpligtelse, og dette er også et gyldigt hjemmelsgrundlag til at behandle personoplysninger jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c.:
“Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.”
En "retlig forpligtelse" kan bruges som hjemmel til behandling af personoplysninger til at efterleve lovgivning eller myndighedskrav, og din behandling af personoplysninger skal matche formålet i dette retsgrundlag.
Eksempler
Herunder kan du finde eksempler, hvor en retlig forpligtelse kan være hjemmelsgrundlaget for behandlingen af personoplysninger.
Bogføring og regnskab
En virksomhed skal opbevare fakturaer og andre regnskabsdokumenter i en bestemt periode i henhold til bogføringsloven. Dette kræver behandling af kundernes eller leverandørernes personoplysninger, som fx navn, adresse, cvr.nr., mv..
Indberetning af skat og afgifter
En arbejdsgiver er forpligtet til at indberette medarbejderes løn og skatteoplysninger til skattemyndighederne. Dette indebærer behandling af oplysninger som CPR-nummer, lønoplysninger og skattefradrag.
Overholdelse af arbejdsmiljøregler
En arbejdsgiver er forpligtet til at registrere og rapportere arbejdsulykker til arbejdstilsynet, og må derfor behandle personoplysninger om involverede medarbejdere og detaljer om ulykken.
Vitale Interesser (artikel 6, stk.1, litra d.)
Du kan behandle personoplysninger, hvis det er nødvendigt for at beskytte en persons vitale interesser, og der ikke er andre lovlige måder at beskytte denne interesse på. Dette fremgår af artikel 6, stk. 1, litra d. i databeskyttelsesforordningen:
"Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser."
Denne hjemmel anvendes typisk i nødsituationer, hvor det ikke er muligt at indhente samtykke, og hvor behandlingen er nødvendig for at beskytte liv eller helbred.
Denne hjemmel anvendes derfor sjældent til behandling af personoplysninger.
Eksempler
Ildebefindende
Et fitnesscenter vil kunne behandle oplysninger om et medlem, der får et ildebefindende under træning, så de kan dele relevante oplysninger med alarmcentralen for at yde førstehjælp.
Evakuering
En virksomhed kan behandle oplysninger om medarbejdere eller besøgende for at sikre, at alle evakueres sikkert ved en brand eller anden nødsituation. Behandlingen er nødvendig for at beskytte de involveredes liv og helbred, fx ved at dele oplysningerne med redningstjenesten.
Offentlig myndighedsudøvelse (artikel 6, stk.1, litra e.)
Du kan behandle personoplysninger, hvis det er nødvendigt for at udføre en opgave, der er i samfundets interesse eller hører under offentlig myndighedsudøvelse, som du er pålagt. Dette fremgår af artikel 6, stk. 1, litra e. i databeskyttelsesforordningen:
"Behandling er nødvendig for at udføre en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt."
Denne hjemmel er relevant, når behandlingen er fastsat i lovgivningen, og den dataansvarlige handler på baggrund af tildelte offentlige beføjelser.
Hvis en privat virksomhed har fået ansvaret for at udføre en opgave på vegne af det offentlige, kan de behandle personoplysninger som en del af denne opgave. Behandlingen er lovlig, fordi opgaven falder under offentlig myndighedsudøvelse, og oplysningerne må kun bruges til det, der er nødvendigt for at løse opgaven.
Eksempler
Herunder findes 2 eksempler på offentlige myndigheders brug af hjemlen ‘offentliglig myndighedsudøvelse’, samt en privat virksomhed der kan bruge hjemlen.
Behandling af ansøgninger om sociale ydelser
En kommune behandler oplysninger om borgere, der ansøger om sociale ydelser, som fx kontanthjælp eller børnetilskud. Behandlingen er nødvendig for at vurdere borgerens ret til ydelser og sker som led i deres offentlige myndighedsudøvelse.
Tilsynsopgaver
En offentlig myndighed behandler oplysninger om virksomheder (inklusive enkeltmandsvirksomheder) som led i deres opgave med at føre tilsyn med overholdelse af miljølovgivningen.
Parkeringskontrol
En privat virksomhed, der udfører parkeringskontrol på vegne af en kommune, behandler oplysninger om bilister, der parkerer ulovligt. Virksomheden registrerer oplysninger om køretøjer (fx registreringsnumre) og sender kontrolafgifter til ejeren af køretøjet. Behandlingen er nødvendig som led i udførelsen af kommunens opgave med at sikre lovlige parkeringsforhold, hvilket er en myndighedsopgave, der er udliciteret til virksomheden.
Legitime interesser (artikel 6, stk.1, litra f.)
Du kan behandle personoplysninger, hvis det er nødvendigt for at opfylde en legitim interesse, og denne interesse ikke overstiger hensynet til den registreredes rettigheder og frihedsrettigheder. Dette fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra f.:
"Behandling er nødvendig for at opfylde legitime interesser, som forfølges af den dataansvarlige eller en tredjepart, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud."
Legitime interesser er en fleksibel hjemmel, men før den kan anvendes, så kræver det en nøje afvejning af, om behandlingen kan retfærdiggøres i forhold til den registrerede. Her bør du tage hensyn til de registreredes rimelige forventninger, som de vil have til din behandling af deres personoplysninger. Denne afvejning kaldes en interesseafvejning, og denne bør dokumenteres. Du skal desudeb informere vedkommende om denne interesseafvejning jf. din oplysningspligt, hvilket typisk vil indgå i privatlivspolitikken.
Offentlige myndigheder kan som udgangspunkt ikke bruge legitime interesser som hjemmel til at behandle personoplysninger for deres myndighedsudøvelse. Hjemlen kan dog bruges til behandlingsaktiviteter som fx sikkerhedsovervågning. Myndighedsopgaver vil blive udført med hjemmel i artikel 6, stk. 1, litra c (retlig forpligtelse) eller litra e (offentlig myndighedsudøvelse).
Eksempler
Informationssikkerhed
En organisation bruger en IT-sikkerhedsløsning til at logge data for at opdage og håndtere sikkerhedstrusler, hvilket er en legitim interesse, da formålet er at beskytte sine IT-systemer og data.
Forebyggelse af svig
En webshop analyserer kundernes købsmønstre for at opdage og forhindre svindel, fx forsøg på kreditkort bedrageri. Behandlingen er nødvendig for at beskytte virksomheden mod økonomiske tab og beskytte kunderne mod svindel.
Forhold mellem arbejdsgiver og medarbejder
En arbejdsgiver behandler oplysninger om medarbejdernes præstationer for at kunne evaluere deres produktivitet. Dette er en legitim interesse, så længe at det er nødvendigt for organisationens drift og databehandlingen om medarbejderne er proportionel.
Konklusion
Du skal altid have hjemmel til at behandle personoplysninger jf. databeskyttelsesforordningens artikel 6, stk. 1. I denne artikel er disse hjemler blevet gennemgået, og der er givet eksempler på hvordan disse kan anvendes i praksis.
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
