Nyheder

Ny opfattelse hos Datatilsynet skærper hjemmelskrav til behandling af følsomme oplysninger

Publiceret
12 Nov 2019
Datatilsynet har ændret sin opfattelse af, hvad der kræves af grundlag (hjemmel) for at behandle følsomme personoplysninger. Ændringen, der sker på baggrund af vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB) og domme afsagt af EU-Domstolen, vil medføre skærpede krav til behandling af følsomme oplysninger fremadrettet.

Baggrund  

Det har hidtil været Datatilsynets opfattelse, at den dataansvarlige kunne behandle følsomme personoplysninger med hjemmel i et behandlingsgrundlag i Persondataforordningens artikel 9, stk. 2, forudsat at de grundlæggende principper for behandling af personoplysninger i forordningens artikel 5 også er opfyldt.

Blandt andet på grundlag af vejledninger fra EDPB og domme afsagt af EU-Domstolen har Datatilsynet oplyst, at Datatilsynet fremadrettet ændrer sin opfattelse af, hvad der kræves for at behandle følsomme personoplysninger.

Datatilsynets nye opfattelse  

Fremover skal den dataansvarlige ved behandling af følsomme personoplysninger sørge for, at den dataansvarlige både har et lovligt behandlingsgrundlag (hjemmel) i Persondataforordningens artikel 9, stk. 2, og et lovligt behandlingsgrundlag i forordningens artikel 6, der angår behandlingsgrundlagene for behandling af almindelige personoplysninger, herunder ”Interesseafvejningsreglen” i artikel 6, stk. 1, litra f.

Der kan dog i enkelte tilfælde opstå situationer, hvor der ikke findes et lovligt behandlingsgrundlag i forordningens artikel 6, stk. 1, litra a-f, selvom der kan findes et hjemmelsgrundlag i forordningens artikel 9, stk. 2.  Datatilsynet har til eksempel beskrevet den situation, hvor en virksomhed med henblik på at målrette markedsføring opretter et register over personer med en bestemt sygdom eller et bestemt politisk tilhørsforhold, som de enkelte personer har omtalt på de sociale medier.

I dette tilfælde vil virksomheden lovligt behandle følsomme personoplysninger, da behandlingen drejer sig om personoplysninger, som allerede er offentliggjort af den registrerede, jf. forordningens artikel 9, stk. 2, litra e. I denne situation vil der dog som udgangspunkt ikke være et lovligt behandlingsgrund forordningens artikel 6, stk. 1, litra a-f,

Du kan læse Datatilsynets meddelelse om den ændrede opfattelse af kravene til behandling af følsomme personoplysninger her.

Praksisændringens betydning for den dataansvarlige – Lund Elmer Sandagers kommentarer

Datatilsynets nye opfattelse af hjemmelsgrundlaget for behandling af følsomme personoplysninger betyder, at mange virksomheder skal opdatere deres persondatapolitikker og andre meddelelser, der indeholder en beskrivelse af virksomhedernes behandling af følsomme personoplysninger, således at politikkerne mv. både beskriver de lovlige behandlingsgrundlag ifølge Persondataforordningens artikel 9, stk. 2, og de lovlige behandlingsgrundlag ifølge Persondataforordningens artikel 6. For de fleste virksomheder vil behandlingsgrundlaget for behandling af følsomme personoplysninger formentlig alene være beskrevet med henvisning til behandlingsgrundlagene ifølge Persondataforordningens artikel 9, stk. 2 – i overensstemmelse med Datatilsynets hidtige retsopfattelse.

Datatilsynets nye opfattelse kan også få en betydning for de registreres rettigheder, herunder retten til at gøre indsigelse mod behandling af personoplysninger ifølge Persondataforordningens artikel 21. Det kan f.eks. være relevant i tilfælde, hvor en virksomhed har baseret sit ”artikel 6-grundlag” på interesseafvejningsreglen i artikel 6, stk. 1, litra f.

Datatilsynet har dog bemærket, at behandling af oplysninger om strafbare forhold i henhold til databeskyttelseslovens § 8 ikke kræver, at der samtidig identificeres et behandlingsgrundlag i Persondataforordningens artikel 6. Dette skyldes, at databeskyttelseslovens § 8 er udtryk for en udnyttelse af den særlige mulighed for at fastsætte nationale regler om behandling af oplysninger om straffedomme og lovovertrædelser, der følger af Persondataforordningens artikel 10

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne i forhold til Datatilsynets nye opfattelse af hjemmelsgrundlaget, er du velkommen til at Lund Elmer Sandagers specialister i GDPR og databeskyttelse, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.

Vi bruger cookies

Vi bruger cookies til at integrere med vores videoudbyder og til at lave anonymiseret statistik over trafikken på vores hjemmeside.
Cookies er små tekstfiler, som kan bruges af websteder til at gøre en brugers oplevelse mere effektiv. Loven fastslår, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for at sikre leveringen af den tjeneste, du udtrykkeligt har anmodet om at bruge. For alle andre typer cookies skal vi indhente dit samtykke.

Dette websted bruger forskellige typer af cookies. Nogle cookies sættes af tredjeparts tjenester, der vises på vores sider. Du kan til enhver tid ændre eller tilbagetrække dit samtykke fra Cookiedeklarationen.

Læs mereLuk

Statistik cookies hjælper webstedsejere med at forstå, hvordan de besøgende interagerer med hjemmesider ved at indsamle og rapportere oplysninger anonymt.
Sociale medier cookies tillader os at integrere med velkendte sociale mediers platforme. Formålet er en mikstur af marketing, statistik og interaktioner med 3. parts platformen.
Nødvendig for at afspille Vimeo videoer
Nødvendig for at afspille YouTube videoer