Ny opfattelse hos Datatilsynet skærper hjemmelskrav til behandling af følsomme oplysninger
Baggrund
Det har hidtil været Datatilsynets opfattelse, at den dataansvarlige kunne behandle følsomme personoplysninger med hjemmel i et behandlingsgrundlag i Persondataforordningens artikel 9, stk. 2, forudsat at de grundlæggende principper for behandling af personoplysninger i forordningens artikel 5 også er opfyldt.
Blandt andet på grundlag af vejledninger fra EDPB og domme afsagt af EU-Domstolen har Datatilsynet oplyst, at Datatilsynet fremadrettet ændrer sin opfattelse af, hvad der kræves for at behandle følsomme personoplysninger.
Datatilsynets nye opfattelse
Fremover skal den dataansvarlige ved behandling af følsomme personoplysninger sørge for, at den dataansvarlige både har et lovligt behandlingsgrundlag (hjemmel) i Persondataforordningens artikel 9, stk. 2, og et lovligt behandlingsgrundlag i forordningens artikel 6, der angår behandlingsgrundlagene for behandling af almindelige personoplysninger, herunder ”Interesseafvejningsreglen” i artikel 6, stk. 1, litra f.
Der kan dog i enkelte tilfælde opstå situationer, hvor der ikke findes et lovligt behandlingsgrundlag i forordningens artikel 6, stk. 1, litra a-f, selvom der kan findes et hjemmelsgrundlag i forordningens artikel 9, stk. 2. Datatilsynet har til eksempel beskrevet den situation, hvor en virksomhed med henblik på at målrette markedsføring opretter et register over personer med en bestemt sygdom eller et bestemt politisk tilhørsforhold, som de enkelte personer har omtalt på de sociale medier.
I dette tilfælde vil virksomheden lovligt behandle følsomme personoplysninger, da behandlingen drejer sig om personoplysninger, som allerede er offentliggjort af den registrerede, jf. forordningens artikel 9, stk. 2, litra e. I denne situation vil der dog som udgangspunkt ikke være et lovligt behandlingsgrund forordningens artikel 6, stk. 1, litra a-f,
Du kan læse Datatilsynets meddelelse om den ændrede opfattelse af kravene til behandling af følsomme personoplysninger her.
Praksisændringens betydning for den dataansvarlige – Lund Elmer Sandagers kommentarer
Datatilsynets nye opfattelse af hjemmelsgrundlaget for behandling af følsomme personoplysninger betyder, at mange virksomheder skal opdatere deres persondatapolitikker og andre meddelelser, der indeholder en beskrivelse af virksomhedernes behandling af følsomme personoplysninger, således at politikkerne mv. både beskriver de lovlige behandlingsgrundlag ifølge Persondataforordningens artikel 9, stk. 2, og de lovlige behandlingsgrundlag ifølge Persondataforordningens artikel 6. For de fleste virksomheder vil behandlingsgrundlaget for behandling af følsomme personoplysninger formentlig alene være beskrevet med henvisning til behandlingsgrundlagene ifølge Persondataforordningens artikel 9, stk. 2 – i overensstemmelse med Datatilsynets hidtige retsopfattelse.
Datatilsynets nye opfattelse kan også få en betydning for de registreres rettigheder, herunder retten til at gøre indsigelse mod behandling af personoplysninger ifølge Persondataforordningens artikel 21. Det kan f.eks. være relevant i tilfælde, hvor en virksomhed har baseret sit ”artikel 6-grundlag” på interesseafvejningsreglen i artikel 6, stk. 1, litra f.
Datatilsynet har dog bemærket, at behandling af oplysninger om strafbare forhold i henhold til databeskyttelseslovens § 8 ikke kræver, at der samtidig identificeres et behandlingsgrundlag i Persondataforordningens artikel 6. Dette skyldes, at databeskyttelseslovens § 8 er udtryk for en udnyttelse af den særlige mulighed for at fastsætte nationale regler om behandling af oplysninger om straffedomme og lovovertrædelser, der følger af Persondataforordningens artikel 10
Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne i forhold til Datatilsynets nye opfattelse af hjemmelsgrundlaget, er du velkommen til at Lund Elmer Sandagers specialister i GDPR og databeskyttelse, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.