Hjemmel til behandling af følsomme personoplysninger
Databeskyttelsesforordningen forbyder behandlingen af følsomme personoplysninger med mindre, at man har hjemmel i artikel 9, stk.2 i databeskyttelsesforordningen til at behandle disse. I denne artikel vil vi derfor beskrive disse hjemler, så du kan identificere hjemlerne til din behandling af følsomme personoplysninger.
Hvis du har behov for en genopfriskning af, hvad følsomme personoplysninger er, så kan du læse vores artikel om dette.
Dobbelthjemmel
Vi har tidligere beskrevet hvordan, at du skal have hjemmel i databeskyttelsesforordningens artikel 6, stk. 1 for at behandle almindelige personoplysninger, men ved behandlingen af følsomme personoplysninger skal du også have hjemmel heri - udover også at have hjemmel i artikel 9, stk. 2.
Du skal derfor have hjemmel i først artikel 6, stk.1 og dernæst hjemmel i artikel 9, stk. 2 for at behandle følsomme personoplysninger.
Eksempel
Lad os illustrere, hvordan kravet om dobbelthjemmel fungerer med et hospital, som skal behandle en patients helbredsoplysninger.
- Hospitalet behandler patientens data, fordi det udfører en opgave pålagt af staten, og henter derfor hjemmel i artikel 6, stk. 1, litra e) som netop vedrører “offentlig myndighedsudøvelse”.
- Hospitalet skal dernæst finde hjemlen til at behandle følsomme helbredsoplysninger, da dette er nødvendige for at levere sundhedspleje og medicinsk behandling til patienten, og derfor kan de anvende i artikel 9, stk.2, litra h, som en hjemmel til at behandle følsomme personoplysninger. Denne hjemmel m.fl. kan du læse om i det følgende.
Liste med hjemler til behandling af følsomme personoplysninger
I resten af denne artikel kan du læse om alle hjemlerne til brug for behandling af følsomme personoplysninger med tilhørende eksempler:
- Udtrykkeligt samtykke - Artikel 9, stk. 2. litra a.
- Arbejdsretlige forpligtelser - Artikel 9, stk. 2. litra b.
- Beskyttelse af vitale interesser - Artikel 9, stk. 2. litra c.
- Non-profit organisationer - Artikel 9, stk. 2. litra d.
- Offentliggjorte oplysninger - Artikel 9, stk. 2. litra e.
- Retskrav - Artikel 9, stk. 2. litra f.
- Væsentlig offentlig interesse - Artikel 9, stk. 2. litra g.
- Sundhed og socialforsorg - Artikel 9, stk. 2. litra h.
- Folkesundhed - Artikel 9, stk. 2. litra i.
- Arkivering og forskning - Artikel 9, stk. 2. litra j.
Det er vigtigt, at du også selv studerer dine hjemmelsgrundlag i databeskyttelsesforordningen, som du kan finde et link til her.
Udtrykkeligt samtykke
Artikel 9, stk. 2. litra a.
Med et udtrykkeligt samtykke kan du behandle følsomme personoplysninger. Her er det vigtigt, at der kræves et udtrykkeligt samtykke, og ikke blot et almindeligt samtykke, som man kan bruge til behandlingen af almindelige personoplysninger. Et udtrykkeligt samtykke kræver, at det er klart, utvetydigt og dokumenteret, at vedkommende har givet samtykke til behandlingen, fx med en skriftlig erklæring eller en eksplicit handling.
Eksempel
En virksomhed ønsker at bruge medarbejdernes fingeraftryk som adgangskontrol, hvilket er en følsom personoplysning. Medarbejderne har stadig mulighed for at bruge deres gamle nøglekort, så brugen af biometriske oplysninger er frivillig. Virksomheden vælger derfor udtrykkeligt samtykke som hjemmel til behandlingen.
I dette tilfælde er dobbetlhjemlen:
- Artikel 6, stk. 1, litra a: Samtykke
- Artikel 9, stk. 2, litra a: Udtrykkeligt samtykke
Arbejdsretlige forpligtelser
Artikel 9, stk. 2. litra b.
Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at opfylde dine forpligtelser inden for arbejds-, sundheds- eller socialretten. Brug af denne hjemmel kræver, at behandlingen er fastsat i lovgivning eller fx i en kollektiv overenskomst.
Eksempel
En arbejdsgiver kan være nødt til at behandle oplysninger om medarbejderes sygemeldinger for at sikre, at de får den rette løn under sygdom, hvilket er fastsat i overenskomst eller lovgivning.
Det kan også være nødvendigt at behandle oplysninger om en medarbejders handicap for at tilpasse arbejdspladsen, så medarbejderen kan udføre sit arbejde under passende forhold.
I begge tilfælde er dobbelthjemlen:
- Artikel 6, stk. 1, litra c: Retlig forpligtelse
- Artikel 9, stk. 2, litra b: Arbejdsretlige forpligtelser
Beskyttelse af vitale interesser
Artikel 9, stk. 2. litra c.
Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at beskytte en persons vitale interesser, når der ikke er andre gældende hjemler, og når personen ikke er i stand til at give samtykke. Denne hjemmel anvendes typisk i nødsituationer, hvor behandlingen er nødvendig for at kunne hjælpe vedkommende.
For at sikre, at bestemmelsen ikke bruges vilkårligt, så skal behandlingen være strengt nødvendig og proportional i forhold til formålet. Det betyder, at oplysninger kun må behandles i det omfang, det er absolut nødvendigt for at beskytte vedkommendes vitale interesser.
Eksempel
En medarbejder mister bevidstheden på arbejdspladsen, og arbejdsgiveren ringer derfor til alarmcentralen, som beder om at få oplysninger om medarbejderens medicinske historie, som fx allergier eller medicin. I denne situation er det nødvendigt at behandle oplysningerne for at beskytte den ansattes liv.
I dette tilfælde er dobbetlhjemlen:
- Artikel 6, stk. 1, litra d: Beskyttelse af vitale interesser
- Artikel 9, stk. 2, litra c: Behandling er nødvendig for at beskytte vitale interesser
Non-profit organisationer
Artikel 9, stk. 2. litra d
Foreninger, stiftelser eller andre organisationer, der ikke arbejder for gevinst, men som har et politisk, filosofisk, religiøst eller fagforeningsmæssigt formål, kan behandle følsomme personoplysninger, hvis det er nødvendigt i henhold til foreningens formål.
Dette gælder dog kun, når oplysningerne vedrører organisationens medlemmer, tidligere medlemmer eller personer, der har regelmæssig kontakt med organisationen, og når oplysningerne ikke videregives uden samtykke.
Eksempel
En fagforening behandler oplysninger om sine medlemmers fagforeningsmæssige tilhørsforhold for at kunne repræsentere dem i forhandlinger. Behandlingen sker som led i fagforeningens aktiviteter og omfatter kun medlemmer eller tidligere medlemmer.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra f: Legitime interesse
- Artikel 9, stk. 2, litra d: Behandling af non-profit organisationer
Offentliggjorte oplysninger
Artikel 9, stk. 2. litra e.
Du kan behandle følsomme personoplysninger om en person, hvis denne selv har gjort oplysningerne offentligt tilgængelige fx via deres personlige hjemmeside, via sociale medier, eller lignende. Behandlingen må dog ikke gå ud over, hvad der med rimelighed kan forventes i forhold til vedkommendes egen offentliggørelse af oplysningerne jf. databeskyttelsesprincippet om formålsbegrænsning.
Eksempel
En kunstner offentliggør på sin personlige hjemmeside, at vedkommende er diagnosticeret med en bestemt kronisk sygdom, hvilket har inspireret deres seneste kunstværk. En sundhedsorganisation, der arbejder med samme sygdom, bruger denne oplysning i en rapport for at skabe opmærksomhed omkring sygdommen. Organisationen gør det, fordi oplysningerne allerede er offentligt tilgængelige, og behandlingen respekterer kunstnerens formål med at dele informationen.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra f: Legitim interesse
- Artikel 9, stk. 2, litra e: Offentliggjorte oplysninger
Retskrav
Artikel 9, stk. 2. litra f.
Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at etablere, udøve eller forsvare et retskrav. Dette inkluderer behandling af oplysninger i forbindelse med juridiske tvister, også uden for retssager, hvor der er behov for dokumentation eller handling for at beskytte eller fremme et krav.
Eksempel
En fødevarevirksomhed behandler helbredsoplysninger om forbrugere, der er blevet syge efter at have indtaget et af virksomhedens produkter. Oplysningerne bruges til at dokumentere skadesomfanget og til at vurdere virksomhedens ansvar som led i en retssag anlagt mod virksomheden. Behandlingen er nødvendig for at kunne forsvare virksomhedens retskrav og håndtere sagen korrekt.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra f: Legitim interesse
- Artikel 9, stk. 2, litra f: Retskrav
Væsentlig offentlig interesse
Artikel 9, stk. 2. litra g.
Følsomme personoplysninger kan behandles, hvis det er nødvendigt af hensyn til væsentlige samfundsinteresser, der er fastsat i lovgivningen. Behandlingen af oplysningerne skal være proportional og understøtte formålet med den specifikke lovgivning, der giver hjemlen.
Eksempel
En offentlig myndighed arrangerer en høring om arbejdsmarkedslovgivning og inviterer repræsentanter fra forskellige fagforeninger og religiøse grupper til at deltage. For at sikre korrekt registrering og repræsentation noterer myndigheden deltagernes tilhørsforhold til de respektive organisationer. Behandlingen er nødvendig for at fremme dialog og sikre inklusion i lovgivningsprocessen.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
- Artikel 9, stk. 2, litra g: Væsentlig offentlig interesse
Sundhed og socialforsorg
Artikel 9, stk. 2. litra h.
Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for forebyggende medicin, arbejdsmedicin, vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling, eller forvaltning af social- og sundhedsomsorg og -tjenester. Behandlingen skal ske enten i henhold til lovgivning eller som en del af en kontrakt med en sundhedsperson, og behandlingen skal udføres af fagpersoner, der er underlagt tavshedspligt.
Eksempel
En lægeklinik behandler følsomme personoplysninger om patienters helbred som led i deres arbejde med at diagnosticere og behandle patienter. Behandlingen inkluderer blandt andet journalføring og ordination af medicin. Behandlingen sker med hjemmel i sundhedslovgivningen og foretages af sundhedspersonale, der er underlagt tavshedspligt.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
- Artikel 9, stk. 2, litra h: Sundhed og socialforsorg.
Folkesundhed
Artikel 9, stk. 2. litra i.
Følsomme personoplysninger kan behandles, hvis det er nødvendigt af hensyn til samfundsinteresser på folkesundhedsområdet. Det kan omfatte forebyggelse og beskyttelse mod sundhedstrusler, samt fx kvalitetsstandarder for sundhedspleje, medicinske produkter og medicinsk udstyr. Behandlingen skal have hjemmel il lovgivning.
Eksempel
En sundhedsmyndighed behandler oplysninger om borgeres helbred og vaccinationer for at overvåge og bekæmpe spredningen af en smitsom sygdom. Behandlingen er nødvendig for at beskytte folkesundheden mod en epidemi.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
- Artikel 9, stk. 2, litra i: Folkesundhed
Arkivering og forskning
Artikel 9, stk. 2. litra j.
Følsomme personoplysninger kan behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål, samt til statistiske formål. Formålet med behandlingen skal være klart afgrænset og nødvendigt for at opfylde et væsentligt samfundsmæssigt behov, som har basis i lovgivning, og skal ske under passende foranstaltninger med hensyn til de registrerede.
Eksempel
Et universitet indsamler og behandler helbredsoplysninger fra en stor gruppe deltagere som led i et forskningsprojekt om langtidseffekterne af en bestemt medicinsk behandling. Behandlingen sker udelukkende til videnskabelige formål, og oplysningerne pseudonymiseres for at beskytte deltagernes privatliv.
Dobbelthjemlen i dette tilfælde er:
- Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
- Artikel 9, stk. 2, litra j: Arkivering og forskning
Opsummering
Denne artikel har gennemgået de forskellige hjemler, som du kan anvende til behandlingen af følsomme personoplysninger, samt brugen af dobbelthjemlen.
Denne artikel er tiltænkt som en guide til at identificere den hjemmel, som du skal bruge til dine behandlinger af personoplysninger. Vi anbefaler, at du tager et kig i databeskyttelsesforordningens artikel 9 for at finde den korrekte ordlyd for de forskellige hjemler.
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
