fbpx

Behandling af personoplysninger

Hvad er følsomme personoplysninger

En per­so­nop­lys­ning er defi­ne­ret som en oplys­ning om en fysisk per­son, som er eller kan iden­ti­fi­ce­res. At det blot skal være muligt at kunne iden­ti­fi­ce­re den pågæl­den­de bety­der, at også IP-adresser, kre­dit­kort­num­re, medlemsnumre, jour­na­l­op­lys­nin­ger mv. vil være per­so­nop­lys­nin­ger omfat­tet af reg­ler­ne for behand­ling af per­so­nop­lys­nin­ger, fordi de er per­son­hen­før­ba­re.

Der gælder ikke nogen bagatelgrænse for, hvad der kan være en personoplysning omfattet af GDPR-reglerne. Også blot skostørrelse og hårfarve kan derfor være personoplysninger, hvis registreringen heraf er relateret til en konkret og identificerbar person.

Reglerne er komplekse og Datatilsynets praksis afslører, at man ikke kan tage for givet, at der ikke sker behandling omfattet af forordningen.

Elmer Advokater har betydelige erfaring og ekspertise med persondatareglerne – både med den juridiske forståelse og afgrænsning heraf samt den praktiske implementering.

Med udsigt til en fremtid, hvor den tekniske udvikling næppe går i stå, og de digitale tjenester næppe heller vil få mindre plads, men hvor det tværtom vil blive endnu lettere at opbevare, filtrere og sammenstille personoplysninger, indebærer databeskyttelsesreglerne derfor en række udfordringer og dilemmaer for den dataansvarlige.

Vi tilbyder derfor:  

  • Fuld pakke i forhold til implementering og løbende compliance i organisationen, herunder
    • Kortlægning af behandlinger og processer
    • Udarbejdelser af risikoanalyser
    • Udarbejdelse af politikker – herunder cookiepolitik
    • Udarbejdelse af fortegnelser
    • Udarbejdelse af praktisk anvendelige instrukser til medarbejderne
    • Vejledning om privacy by default og privacy by design
    • Vejledning og bistand vedrørende behov for og indhold af databehandlerkontrakter
    • Rådgivning om de registrerede rettigheder
    • Vejledning og bistand vedrørende grundlag for overførsel til tredjelande
  • Bistand i forbindelse med klagesager
  • Bistand i forbindelse med håndtering af databrud
  • Om nødvendigt gennemførelse af sagsanlæg ved domstolene
  • Generel bistand om fortolkning/udlægning af persondatareglerne – herunder også i krydsfeltet med anden lovgivning (ansættelsesret, markedsføringsret mv.)

Typer af personoplysninger

Behand­lings­reg­ler­ne, der bestem­mer i hvil­ket omfang behand­ling af per­so­nop­lys­nin­ger i det hele taget må finde sted, og som i udgangs­punk­tet gæl­der for al per­son­da­ta­be­hand­ling, ind­de­ler oplys­nin­ger i følgende kate­go­ri­er:

  • Den særlige kategori af oplysninger (føl­som­me oplys­nin­ger), som blandt andet omfat­ter etnisk bag­grund, hel­breds­mæs­si­ge, religiøse og seksu­el­le for­hold samt fag­for­e­nings­mæs­si­ge for­hold.
  • Almin­de­li­ge oplys­nin­ger, såsom navn, adres­se, anciennitet, forfremmelser, erhvervsmæssige titler og øko­no­mi­ske for­hold mv.
  • Oplysninger om straf­ba­re for­hold, som er særligt reguleret i § 8 i den supplerende databeskyttelseslov
  • CPR-nummer, som er særligt reguleret i § 11 i den supplerende databeskyttelseslov

 

Betingelser for behandling af personoplysninger

For hver kategori er fastsat de kriterier, som skal være opfyldt for at man kan behandle oplysningen. Begrebet behandling omfatter i den forbindelse enhver form for håndtering af personoplysninger – herunder indsamling, registrering, opbevaring, videregivelse, sletning, filtrering, sammenstilling, kiggeadgang mv.

Det er vigtigt at gøre sig klart, hvilken hjemmel man anvender – herunder navnlig om man til blandt andet anvender hjemlen i forordningens artikel 6, stk. 1, litra f, om, at der foreligger en berettiget interesse, der overstiger den registreredes. I sidstnævnte tilfælde skal man nemlig huske at informere den registrerede særskilt om indsigelsesretten i artikel 21.

Man skal i den forbindelse være opmærksom på, at Datatilsynet har ændret sin praksis og nu fremover vil forudsætte et hjemmelgrundlag i artikel 6 for alle behandlinger – også for behandling af følsomme oplysninger, som herefter skal have hjemmel i både artikel 6 og artikel 9. Afvejningsinteressen i artikel 6, stk. 1, litra f, kan derfor blive meget relevant, når man eksempelvis bistår en klient og derfor anvender artikel 9, stk. 2, litra f (retskravsbestemmelsen, som hjemmelsgrundlag. En tilsvarende hjemmel findes ikke i artikel 6, hvorfor man nødvendigvis vil anvende artikel 6, stk. 1, litra f.

 

Behandling uden den registreredes samtykke

Der kan i sær­li­ge til­fæl­de ske behand­ling uden den regi­stre­re­des samtyk­ke. Eksem­pel­vis hvis behandlingen er nødvendig af hen­syn til at forfølge en legitim interesse der overstiger den registrerede interesser, af hen­syn til at opfyl­de en kon­trakt eller en ret­lig for­plig­tel­se eller (hvis der er tale om følsomme personoplysninger), hvis behandlingen er nødvendig for fastlægge eller forsvare et retskrav.

 

Behandling af personoplysninger og databeskyttelsesloven

Derudover giver databeskyttelseslovens § 12 mulighed for at behandle oplysninger i forbindelse med ansættelsesforhold, hvis det er nødvendigt for at overholde en arbejdsretlig forpligtelse eller hvis man forfølge en legitim interesser, der udspringer af anden lovgivning eller kollektiv overenskomst.

Databeskyttelsesreg­ler­ne inde­bæ­rer i øvrigt ikke en pligt, men kun en mulig­hed for at behand­le per­so­nop­lys­nin­ger. Man kan derfor ikke anvende reglerne til at pålægge en modpart – eksempelvis en arbejdsgiver i en ansættelsessag – til at udlevere oplysninger. Hvis man skal forpligte en part til at udlevere oplysninger, skal man hente hjælp i andre regler – eksempelvis i en arbejdsretlig forpligtelse, der måtte følge af overenskomst, kutyme eller lokalaftale.

 

De grundlæggende betingelser som dataansvarlig

Ved siden af de almin­de­li­ge reg­ler for behand­ling af per­so­nop­lys­nin­ger skal den data­ansvar­li­ge des­u­den opfyl­de de helt grund­læg­gen­de betin­gel­ser. De inde­bæ­rer, at ind­sam­ling skal ske til udtryk­ke­ligt angiv­ne og sag­li­ge for­mål, at ind­sam­ling kun skal omfat­te de nød­ven­di­ge og til­stræk­ke­li­ge oplys­nin­ger til netop dette for­mål, at oplys­nin­ger­ne løben­de skal opda­te­res og kva­li­tets­sik­res ved berig­ti­gel­se, lige­som de skal slet­tes, når de ikke læn­ge­re er nød­ven­di­ge til det oprin­de­li­ge for­mål.

Læs mere om den dataansvarliges forpligtelser

 

Overholdelse af reglerne for behandling af personoplysninger

Gen­nem årene har vi set mange eksemp­ler på sager, hvor den data­ansvar­li­ge er ble­vet kri­ti­se­ret for at have ind­sam­let og behand­let personoplys­nin­ger i strid med persondata­lovens reg­ler. I sin seneste praksis – efter Databeskyttelsesforordningen  – har Datatilsynet desuden indstillet to virksomheder til bøder på henholdsvis 1.2 og 1.5 mio. kr. for navnlig manglende sletning af  følsomme oplysninger.

Selvom behandlingsreglerne grundlæggende er de samme som efter den tidligere persondatalov, giver databeskyttelsesforordningen en række udfordringer, fordi forordningen forudsætter, at de dataansvarlige dokumenteret har kortlagt og overvejet deres behov for indsamling og behandling af personoplysninger.

For at kunne doku­men­te­re, at databeskyttelsesforordningen og databeskyttelsesloven efter­le­ves, skal alle offent­li­ge myn­dig­he­der, virk­som­he­der og for­e­nin­ger som data­ansvar­li­ge kort­læg­ge, hvad der sker med følsomme oplys­nin­ger­ne fra de ind­sam­les til de slet­tes eller arki­ve­res.

Hvordan sikrer man overholdelse af persondatareglerne?

Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.


Læs om typer af personoplysninger


Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).


Læs om dataansvarliges forpligtelser

Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).


Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’

Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.


Læs om rådgivning om GDPR

Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.


Læs om GDPR-risikovurdering

Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).


Læs om dokumentation til compliance

Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.


Medarbejders ret til indsigt

 

Kontakt

Det er en svær øvelse at være compliant. Det er derfor en god idé at søge juri­disk bistand til de GDPR-relaterede spørgs­mål, som med sik­ker­hed vil opstå ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af reg­ler­ne i orga­ni­sa­tio­nen. Du er altid velkommen til at kontakte os så vi kan drøfte dine muligheder nærmere.

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev