Behandling af personoplysninger

Hvad er følsomme personoplysninger

En per­so­nop­lys­ning er defi­ne­ret som en oplys­ning om en fysisk per­son, som er eller kan iden­ti­fi­ce­res. At det blot skal være muligt at kunne iden­ti­fi­ce­re den pågæl­den­de bety­der, at også IP-adresser, kre­dit­kort­num­re, medlem­snumre, jour­na­l­op­lys­nin­ger mv. vil være per­so­nop­lys­nin­ger omfat­tet af reg­ler­ne for behand­ling af per­so­nop­lys­nin­ger, fordi de er per­son­hen­før­ba­re.

Der gælder ikke nogen baga­tel­grænse for, hvad der kan være en perso­nop­lys­ning omfat­tet af GDPR-reglerne. Også blot skostør­relse og hårfarve kan derfor være personoplysninger, hvis regi­stre­rin­gen heraf er rela­te­ret til en konkret og iden­ti­fi­cer­bar person.

Reglerne er komplekse og Data­til­sy­nets prak­sis afslø­rer, at man ikke kan tage for givet, at der ikke sker behand­ling omfat­tet af forord­nin­gen.

Elmer Advo­ka­ter har bety­de­lige erfa­ring og eksper­tise med person­da­ta­reg­lerne – både med den juri­di­ske forstå­else og afgræns­ning heraf samt den prak­ti­ske imple­men­te­ring.

Med udsigt til en frem­tid, hvor den tekni­ske udvik­ling næppe går i stå, og de digi­tale tjene­ster næppe heller vil få mindre plads, men hvor det tvær­tom vil blive endnu lettere at opbe­vare, filtrere og sammen­stille personoplysninger, inde­bæ­rer data­be­skyt­tel­ses­reg­lerne derfor en række udfor­drin­ger og dilem­maer for den data­ansvar­lige.

Vi tilbyder derfor:  

  • Fuld pakke i forhold til imple­men­te­ring og løbende compli­ance i orga­ni­sa­tio­nen, herun­der
    • Kort­læg­ning af behand­lin­ger og proces­ser
    • Udar­bej­del­ser af risi­ko­a­na­ly­ser
    • Udar­bej­delse af poli­tik­ker – herun­der cook­i­epo­li­tik
    • Udar­bej­delse af forteg­nel­ser
    • Udar­bej­delse af prak­tisk anven­de­lige instruk­ser til medar­bej­derne
    • Vejled­ning om privacy by default og privacy by design
    • Vejled­ning og bistand vedrø­rende behov for og indhold af data­be­hand­ler­kon­trak­ter
    • Rådgiv­ning om de regi­stre­rede rettig­he­der
    • Vejled­ning og bistand vedrø­rende grund­lag for over­før­sel til tred­jelande
  • Bistand i forbin­delse med klage­sa­ger
  • Bistand i forbin­delse med hånd­te­ring af data­brud
  • Om nødven­digt gennem­fø­relse af sags­an­læg ved domsto­lene
  • Gene­rel bistand om fortolkning/udlægning af person­da­ta­reg­lerne – herun­der også i kryds­fel­tet med anden lovgiv­ning (ansæt­tel­ses­ret, markeds­fø­rings­ret mv.)

Typer af personoplysninger

Behand­lings­reg­ler­ne, der bestem­mer i hvil­ket omfang behand­ling af per­so­nop­lys­nin­ger i det hele taget må finde sted, og som i udgangs­punk­tet gæl­der for al per­son­da­ta­be­hand­ling, ind­de­ler oplys­nin­ger i følgende kate­go­ri­er:

  • Den særlige kate­gori af oplys­nin­ger (føl­som­me oplys­nin­ger), som blandt andet omfat­ter etnisk bag­grund, hel­breds­mæs­si­ge, reli­gi­øse og seksu­el­le for­hold samt fag­for­e­nings­mæs­si­ge for­hold.
  • Almin­de­li­ge oplys­nin­ger, såsom navn, adres­se, ancien­ni­tet, forfrem­mel­ser, erhvervs­mæs­sige titler og øko­no­mi­ske for­hold mv.
  • Oplys­nin­ger om straf­ba­re for­hold, som er særligt regu­le­ret i § 8 i den supple­rende data­be­skyt­tel­ses­lov
  • CPR-nummer, som er særligt regu­le­ret i § 11 i den supple­rende data­be­skyt­tel­ses­lov

 

Betingelser for behandling af personoplysninger

For hver kate­gori er fast­sat de krite­rier, som skal være opfyldt for at man kan behandle oplys­nin­gen. Begre­bet behand­ling omfat­ter i den forbin­delse enhver form for hånd­te­ring af personoplysninger – herun­der indsam­ling, regi­stre­ring, opbe­va­ring, vide­re­gi­velse, slet­ning, filtre­ring, sammen­stil­ling, kigge­ad­gang mv.

Det er vigtigt at gøre sig klart, hvil­ken hjem­mel man anven­der – herun­der navn­lig om man til blandt andet anven­der hjem­len i forord­nin­gens arti­kel 6, stk. 1, litra f, om, at der fore­lig­ger en beret­ti­get inter­esse, der over­sti­ger den regi­stre­re­des. I sidst­nævnte tilfælde skal man nemlig huske at infor­mere den regi­stre­rede særskilt om indsi­gel­ses­ret­ten i arti­kel 21.

Man skal i den forbin­delse være opmærk­som på, at Data­til­sy­net har ændret sin prak­sis og nu frem­over vil forud­sætte et hjem­mel­grund­lag i arti­kel 6 for alle behand­lin­ger – også for behand­ling af følsomme oplys­nin­ger, som heref­ter skal have hjem­mel i både arti­kel 6 og arti­kel 9. Afvej­nings­in­ter­es­sen i arti­kel 6, stk. 1, litra f, kan derfor blive meget rele­vant, når man eksem­pel­vis bistår en klient og derfor anven­der arti­kel 9, stk. 2, litra f (rets­kravs­be­stem­mel­sen, som hjem­mels­grund­lag. En tilsva­rende hjem­mel findes ikke i arti­kel 6, hvor­for man nødven­dig­vis vil anvende arti­kel 6, stk. 1, litra f.

 

Behandling uden den registreredes samtykke

Der kan i sær­li­ge til­fæl­de ske behand­ling uden den regi­stre­re­des samtyk­ke. Eksem­pel­vis hvis behand­lin­gen er nødven­dig af hen­syn til at forfølge en legi­tim inter­esse der over­sti­ger den regi­stre­rede inter­es­ser, af hen­syn til at opfyl­de en kon­trakt eller en ret­lig for­plig­tel­se eller (hvis der er tale om følsomme personoplysninger), hvis behand­lin­gen er nødven­dig for fast­lægge eller forsvare et rets­krav.

Behandling af personoplysninger og databeskyttelsesloven

Deru­d­over giver data­be­skyt­tel­ses­lo­vens § 12 mulig­hed for at behandle oplys­nin­ger i forbin­delse med ansæt­tel­ses­for­hold, hvis det er nødven­digt for at over­holde en arbejds­ret­lig forplig­telse eller hvis man forfølge en legi­tim inter­es­ser, der udsprin­ger af anden lovgiv­ning eller kollek­tiv overenskomst.

Databeskyttelsesreg­ler­ne inde­bæ­rer i øvrigt ikke en pligt, men kun en mulig­hed for at behand­le per­so­nop­lys­nin­ger. Man kan derfor ikke anvende reglerne til at pålægge en modpart – eksem­pel­vis en arbejds­gi­ver i en ansæt­tel­ses­sag – til at udle­vere oplys­nin­ger. Hvis man skal forpligte en part til at udle­vere oplys­nin­ger, skal man hente hjælp i andre regler – eksem­pel­vis i en arbejds­ret­lig forplig­telse, der måtte følge af overenskomst, kutyme eller loka­laf­tale.

 

De grundlæggende betingelser som dataansvarlig

Ved siden af de almin­de­li­ge reg­ler for behand­ling af per­so­nop­lys­nin­ger skal den data­ansvar­li­ge des­u­den opfyl­de de helt grund­læg­gen­de betin­gel­ser. De inde­bæ­rer, at ind­sam­ling skal ske til udtryk­ke­ligt angiv­ne og sag­li­ge for­mål, at ind­sam­ling kun skal omfat­te de nød­ven­di­ge og til­stræk­ke­li­ge oplys­nin­ger til netop dette for­mål, at oplys­nin­ger­ne løben­de skal opda­te­res og kva­li­tets­sik­res ved berig­ti­gel­se, lige­som de skal slet­tes, når de ikke læn­ge­re er nød­ven­di­ge til det oprin­de­li­ge for­mål.

 

Overholdelse af reglerne for behandling af personoplysninger

Gen­nem årene har vi set mange eksemp­ler på sager, hvor den data­ansvar­li­ge er ble­vet kri­ti­se­ret for at have ind­sam­let og behand­let personoplys­nin­ger i strid med persondata­lovens reg­ler. I sin sene­ste prak­sis – efter Data­be­skyt­tel­ses­for­ord­nin­gen  – har Data­til­sy­net desu­den indstil­let to virk­som­he­der til bøder på henholds­vis 1.2 og 1.5 mio. kr. for navn­lig mang­lende slet­ning af  følsomme oplys­nin­ger.

Selvom behand­lings­reg­lerne grund­læg­gende er de samme som efter den tidli­gere person­da­ta­lov, giver data­be­skyt­tel­ses­for­ord­nin­gen en række udfor­drin­ger, fordi forord­nin­gen forud­sæt­ter, at de data­ansvar­lige doku­men­te­ret har kort­lagt og over­ve­jet deres behov for indsam­ling og behand­ling af personoplysninger.

For at kunne doku­men­te­re, at data­be­skyt­tel­ses­for­ord­nin­gen og data­be­skyt­tel­ses­lo­ven efter­le­ves, skal alle offent­li­ge myn­dig­he­der, virk­som­he­der og for­e­nin­ger som data­ansvar­li­ge kort­læg­ge, hvad der sker med følsomme oplys­nin­ger­ne fra de ind­sam­les til de slet­tes eller arki­ve­res.

Hvordan sikrer man overholdelse af persondatareglerne?

Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


Læs om typer af personoplysninger


Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som risi­ko­vur­de­rin­gen forud­sæt­ter er nødven­dig (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet og sørg for kryp­te­ring af alle bærbare medier).


Læs om data­ansvar­li­ges forplig­tel­ser

Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).


Læs om ‘Fire domme fra Højeste­ret om behand­ling af personoplysninger’

Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


Læs om rådgiv­ning om GDPR

Udar­bejd en risikovurdering- altså en vurde­ring af risi­koen for at den regi­stre­re­des oplysninger/rettigheder bliver kræn­ket sammen­holdt med konse­kven­serne heraf. Konse­kven­serne kan være vidtræk­kende. Ex kan tab af doku­men­ter (util­sig­tet sletning/hacking) inde­bære, at vigtige bevi­ser går tabt, og den regi­stre­rede dermed taber et rejst krav.

Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


Læs om doku­men­ta­tion til compli­ance

Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig, lige­som medar­bej­de­ren skal instru­e­res om proce­du­ren, hvis man modta­ger en rettig­heds­an­mod­nin­ger, eller hvis der sker et data­brud.


Medar­bej­ders ret til indsigt

 

Kontakt

Det er en svær øvelse at være compli­ant. Det er derfor en god idé at søge juri­disk bistand til de GDPR-relaterede spørgs­mål, som med sik­ker­hed vil opstå ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af reg­ler­ne i orga­ni­sa­tio­nen. Du er altid velkom­men til at kontakte os - så vi kan drøfte dine mulig­he­der nærmere.

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev