Behandlingsgrundlag

Et behandlingsgrundlag er det juridiske grundlag, din virksomhed skal have for at behandle personoplysninger lovligt. Uden et gyldigt grundlag er behandlingen ulovlig, uanset hvor god en grund du synes, du har. GDPR artikel 6 definerer seks mulige grundlag.

Tilbage til ordbog

Hvad er et behandlingsgrundlag?

Under GDPR skal enhver behandling af personoplysninger have et gyldigt behandlingsgrundlag. Det er et af de grundlæggende principper i databeskyttelseslovgivningen og er fastsat i artikel 6, stk. 1. Behandlingsgrundlaget skal identificeres og dokumenteres, før behandlingen påbegyndes — det kan ikke bestemmes med tilbagevirkende kraft.

Kravet gælder alle former for behandling: indsamling, opbevaring, brug, deling og sletning. Som dataansvarlig er din virksomhed ansvarlig for at dokumentere, at der eksisterer et gyldigt grundlag for hver behandlingsaktivitet.

De seks behandlingsgrundlag

GDPR artikel 6, stk. 1 opstiller seks behandlingsgrundlag:

Samtykke (art. 6(1)(a)): Den registrerede har givet klart, informeret og frivilligt samtykke til behandlingen for et eller flere specifikke formål. Samtykke skal være lige så nemt at trække tilbage som at give.
Kontrakt (art. 6(1)(b)): Behandlingen er nødvendig for opfyldelse af en kontrakt med den registrerede, eller for at tage skridt forud for indgåelse af en kontrakt.
Retlig forpligtelse (art. 6(1)(c)): Behandlingen er nødvendig for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt (f.eks. skattelovgivning, ansættelsesret).
Vitale interesser (art. 6(1)(d)): Behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser. Dette grundlag er sjældent relevant uden for livstruende situationer.
Offentlig interesse (art. 6(1)(e)): Behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse. Primært relevant for offentlige myndigheder.
Legitim interesse (art. 6(1)(f)): Behandlingen er nødvendig for de legitime interesser, som den dataansvarlige eller en tredjemand forfølger, medmindre den registreredes interesser eller grundlæggende rettigheder går forud. Kræver en interesseafvejning.

Følsomme personoplysninger

For særlige kategorier af personoplysninger (følsomme data som helbredsoplysninger, etnisk oprindelse, politiske holdninger, biometriske data) stiller artikel 9 yderligere krav. Behandling af følsomme data er forbudt, medmindre en af de specifikke undtagelser i artikel 9, stk. 2 finder anvendelse — f.eks. udtrykkeligt samtykke eller væsentlig samfundsinteresse.

Dokumentation i praksis

Din virksomhed skal dokumentere behandlingsgrundlaget for hver behandlingsaktivitet. Det gøres typisk i din fortegnelse over behandlingsaktiviteter (artikel 30). For hver aktivitet angives, hvilket grundlag der gælder og hvorfor. Hvis du baserer dig på legitim interesse, skal du også dokumentere interesseafvejningen (Legitimate Interest Assessment).

Vælg det rigtige grundlag fra starten: At skifte behandlingsgrundlag, efter behandlingen er påbegyndt, er problematisk og kan gøre den forudgående behandling ulovlig. Vurder og dokumenter det korrekte grundlag omhyggeligt, inden du begynder at behandle personoplysninger.

En grundig forståelse af behandlingsgrundlag er essentiel for en vellykket konsekvensanalyse og for at påvise overholdelse af ansvarlighedsprincippet.

Ofte stillede spørgsmål om behandlingsgrundlag

Hvad er et behandlingsgrundlag?

Et behandlingsgrundlag er det juridiske grundlag, der giver en virksomhed ret til at behandle personoplysninger efter GDPR artikel 6. Uden et gyldigt grundlag er enhver behandling af personoplysninger ulovlig.

Hvad er de seks behandlingsgrundlag i GDPR?

De seks grundlag er: (1) samtykke, (2) opfyldelse af kontrakt, (3) retlig forpligtelse, (4) vitale interesser, (5) offentlig interesse og (6) legitim interesse. Hvert grundlag har specifikke betingelser, der skal opfyldes.

Kan man skifte behandlingsgrundlag undervejs?

At skifte behandlingsgrundlag, efter behandlingen er påbegyndt, er problematisk og frarådes generelt. Grundlaget bør identificeres og dokumenteres, inden behandlingen starter. Et skifte kan gøre den forudgående behandling ulovlig.

Hvornår skal man bruge samtykke frem for legitim interesse?

Brug samtykke, når du vil give den registrerede et reelt valg og kontrol. Brug legitim interesse, når behandlingen er rimeligt forventelig og har minimal indvirkning på privatlivet, men foretag og dokumenter altid en interesseafvejning.

Kræves der et separat grundlag for følsomme personoplysninger?

Ja. Ud over et behandlingsgrundlag efter artikel 6 kræver behandling af særlige kategorier af personoplysninger (følsomme data), at en af betingelserne i artikel 9, stk. 2 er opfyldt, f.eks. udtrykkeligt samtykke eller væsentlig samfundsinteresse.