Hvad er følsomme personoplysninger
En personoplysning er defineret som en oplysning om en fysisk person, som er eller kan identificeres. At det blot skal være muligt at kunne identificere den pågældende betyder, at også IP-adresser, kreditkortnumre, medlemsnumre, journaloplysninger mv. vil være personoplysninger omfattet af reglerne for behandling af personoplysninger, fordi de er personhenførbare.
Der gælder ikke nogen bagatelgrænse for, hvad der kan være en personoplysning omfattet af GDPR-reglerne. Også blot skostørrelse og hårfarve kan derfor være personoplysninger, hvis registreringen heraf er relateret til en konkret og identificerbar person.
Reglerne er komplekse og Datatilsynets praksis afslører, at man ikke kan tage for givet, at der ikke sker behandling omfattet af forordningen.
Elmer Advokater har betydelige erfaring og ekspertise med persondatareglerne – både med den juridiske forståelse og afgrænsning heraf samt den praktiske implementering.
Med udsigt til en fremtid, hvor den tekniske udvikling næppe går i stå, og de digitale tjenester næppe heller vil få mindre plads, men hvor det tværtom vil blive endnu lettere at opbevare, filtrere og sammenstille personoplysninger, indebærer databeskyttelsesreglerne derfor en række udfordringer og dilemmaer for den dataansvarlige.
Vi tilbyder derfor:
- Fuld pakke i forhold til implementering og løbende compliance i organisationen, herunder
- Kortlægning af behandlinger og processer
- Udarbejdelser af risikoanalyser
- Udarbejdelse af politikker – herunder cookiepolitik
- Udarbejdelse af fortegnelser
- Udarbejdelse af praktisk anvendelige instrukser til medarbejderne
- Vejledning om privacy by default og privacy by design
- Vejledning og bistand vedrørende behov for og indhold af databehandlerkontrakter
- Rådgivning om de registrerede rettigheder
- Vejledning og bistand vedrørende grundlag for overførsel til tredjelande
- Bistand i forbindelse med klagesager
- Bistand i forbindelse med håndtering af databrud
- Om nødvendigt gennemførelse af sagsanlæg ved domstolene
- Generel bistand om fortolkning/udlægning af persondatareglerne – herunder også i krydsfeltet med anden lovgivning (ansættelsesret, markedsføringsret mv.)
Typer af personoplysninger
Behandlingsreglerne, der bestemmer i hvilket omfang behandling af personoplysninger i det hele taget må finde sted, og som i udgangspunktet gælder for al persondatabehandling, inddeler oplysninger i følgende kategorier:
- Den særlige kategori af oplysninger (følsomme oplysninger), som blandt andet omfatter etnisk baggrund, helbredsmæssige, religiøse og seksuelle forhold samt fagforeningsmæssige forhold.
- Almindelige oplysninger, såsom navn, adresse, anciennitet, forfremmelser, erhvervsmæssige titler og økonomiske forhold mv.
- Oplysninger om strafbare forhold, som er særligt reguleret i § 8 i den supplerende databeskyttelseslov
- CPR-nummer, som er særligt reguleret i § 11 i den supplerende databeskyttelseslov
Betingelser for behandling af personoplysninger
For hver kategori er fastsat de kriterier, som skal være opfyldt for at man kan behandle oplysningen. Begrebet behandling omfatter i den forbindelse enhver form for håndtering af personoplysninger – herunder indsamling, registrering, opbevaring, videregivelse, sletning, filtrering, sammenstilling, kiggeadgang mv.
Det er vigtigt at gøre sig klart, hvilken hjemmel man anvender – herunder navnlig om man til blandt andet anvender hjemlen i forordningens artikel 6, stk. 1, litra f, om, at der foreligger en berettiget interesse, der overstiger den registreredes. I sidstnævnte tilfælde skal man nemlig huske at informere den registrerede særskilt om indsigelsesretten i artikel 21.
Man skal i den forbindelse være opmærksom på, at Datatilsynet har ændret sin praksis og nu fremover vil forudsætte et hjemmelgrundlag i artikel 6 for alle behandlinger – også for behandling af følsomme oplysninger, som herefter skal have hjemmel i både artikel 6 og artikel 9. Afvejningsinteressen i artikel 6, stk. 1, litra f, kan derfor blive meget relevant, når man eksempelvis bistår en klient og derfor anvender artikel 9, stk. 2, litra f (retskravsbestemmelsen, som hjemmelsgrundlag. En tilsvarende hjemmel findes ikke i artikel 6, hvorfor man nødvendigvis vil anvende artikel 6, stk. 1, litra f.
Behandling uden den registreredes samtykke
Der kan i særlige tilfælde ske behandling uden den registreredes samtykke. Eksempelvis hvis behandlingen er nødvendig af hensyn til at forfølge en legitim interesse der overstiger den registrerede interesser, af hensyn til at opfylde en kontrakt eller en retlig forpligtelse eller (hvis der er tale om følsomme personoplysninger), hvis behandlingen er nødvendig for fastlægge eller forsvare et retskrav.
Behandling af personoplysninger og databeskyttelsesloven
Derudover giver databeskyttelseslovens § 12 mulighed for at behandle oplysninger i forbindelse med ansættelsesforhold, hvis det er nødvendigt for at overholde en arbejdsretlig forpligtelse eller hvis man forfølge en legitim interesser, der udspringer af anden lovgivning eller kollektiv overenskomst.
Databeskyttelsesreglerne indebærer i øvrigt ikke en pligt, men kun en mulighed for at behandle personoplysninger. Man kan derfor ikke anvende reglerne til at pålægge en modpart – eksempelvis en arbejdsgiver i en ansættelsessag – til at udlevere oplysninger. Hvis man skal forpligte en part til at udlevere oplysninger, skal man hente hjælp i andre regler – eksempelvis i en arbejdsretlig forpligtelse, der måtte følge af overenskomst, kutyme eller lokalaftale.
De grundlæggende betingelser som dataansvarlig
Ved siden af de almindelige regler for behandling af personoplysninger skal den dataansvarlige desuden opfylde de helt grundlæggende betingelser. De indebærer, at indsamling skal ske til udtrykkeligt angivne og saglige formål, at indsamling kun skal omfatte de nødvendige og tilstrækkelige oplysninger til netop dette formål, at oplysningerne løbende skal opdateres og kvalitetssikres ved berigtigelse, ligesom de skal slettes, når de ikke længere er nødvendige til det oprindelige formål.
Læs mere om den dataansvarliges forpligtelser
Overholdelse af reglerne for behandling af personoplysninger
Gennem årene har vi set mange eksempler på sager, hvor den dataansvarlige er blevet kritiseret for at have indsamlet og behandlet personoplysninger i strid med persondatalovens regler. I sin seneste praksis – efter Databeskyttelsesforordningen – har Datatilsynet desuden indstillet to virksomheder til bøder på henholdsvis 1.2 og 1.5 mio. kr. for navnlig manglende sletning af følsomme oplysninger.
Selvom behandlingsreglerne grundlæggende er de samme som efter den tidligere persondatalov, giver databeskyttelsesforordningen en række udfordringer, fordi forordningen forudsætter, at de dataansvarlige dokumenteret har kortlagt og overvejet deres behov for indsamling og behandling af personoplysninger.
For at kunne dokumentere, at databeskyttelsesforordningen og databeskyttelsesloven efterleves, skal alle offentlige myndigheder, virksomheder og foreninger som dataansvarlige kortlægge, hvad der sker med følsomme oplysningerne fra de indsamles til de slettes eller arkiveres.
Hvordan sikrer man overholdelse af persondatareglerne?
Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.
Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).
Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).
Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’
Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.
Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.
Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).
Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.
Kontakt
Det er en svær øvelse at være compliant. Det er derfor en god idé at søge juridisk bistand til de GDPR-relaterede spørgsmål, som med sikkerhed vil opstå ikke bare i den forberedende proces, men også efterfølgende i forbindelse med administrationen af reglerne i organisationen. Du er altid velkommen til at kontakte os - så vi kan drøfte dine muligheder nærmere.