Behandling af personoplysninger

Hvad er følsomme personoplysninger

Skre­vet af Kira Kolby Chri­sten­sen, advo­kat og part­ner 07-01-2020

Behandling af personoplysninger

En per­so­nop­lys­ning er defi­ne­ret som en oplys­ning om en fysisk per­son, som er eller kan iden­ti­fi­ce­res. At det blot skal være muligt at kunne iden­ti­fi­ce­re den pågæl­den­de bety­der, at også IP-adresser, kre­dit­kort­num­re, medlem­snumre, jour­na­l­op­lys­nin­ger mv. vil være per­so­nop­lys­nin­ger omfat­tet af reg­ler­ne for behand­ling af per­so­nop­lys­nin­ger, fordi de er per­son­hen­før­ba­re.

Der gælder ikke nogen baga­tel­grænse for, hvad der kan være en perso­nop­lys­ning omfat­tet af GDPR-reglerne. Også blot skostør­relse og hårfarve kan derfor være personoplysninger, hvis regi­stre­rin­gen heraf er rela­te­ret til en konkret og iden­ti­fi­cer­bar person.

Det kan derfor være en god idé at søge juri­disk rådgiv­ning til de GDPR-relaterede spørgs­mål, som med sikker­hed vil opstå i forbin­delse med admi­ni­stra­tio­nen af reglerne i orga­ni­sa­tio­nen. Du er altid velkom­men til at kontakte os - så vi kan drøfte dine mulig­he­der nærmere.

 

Typer af personoplysninger

Behand­lings­reg­ler­ne, der bestem­mer i hvil­ket omfang behand­ling af per­so­nop­lys­nin­ger i det hele taget må finde sted, og som i udgangs­punk­tet gæl­der for al per­son­da­ta­be­hand­ling, ind­de­ler oplys­nin­ger i følgende kate­go­ri­er:

  • Den særlige kate­gori af oplys­nin­ger (føl­som­me oplys­nin­ger), som blandt andet omfat­ter etnisk bag­grund, hel­breds­mæs­si­ge, reli­gi­øse og seksu­el­le for­hold samt fag­for­e­nings­mæs­si­ge for­hold.
  • Almin­de­li­ge oplys­nin­ger, såsom navn, adres­se, ancien­ni­tet, forfrem­mel­ser, erhvervs­mæs­sige titler og øko­no­mi­ske for­hold mv.
  • Oplys­nin­ger om straf­ba­re for­hold, som er særligt regu­le­ret i § 8 i den supple­rende data­be­skyt­tel­ses­lov
  • CPR-nummer, som er særligt regu­le­ret i § 11 i den supple­rende data­be­skyt­tel­ses­lov

 

Betingelser for behandling af personoplysninger

For hver kate­go­ri er fast­sat de kri­te­ri­er, som skal være opfyldt for at man kan behandle oplys­nin­gen. Begre­bet behand­ling omfat­ter i den for­bin­del­se enhver form for hånd­te­ring af per­so­nop­lys­nin­ger – her­un­der ind­sam­ling, regi­stre­ring, opbe­va­ring, vide­re­gi­vel­se, slet­ning, filtre­ring, sammen­stil­ling, kigge­ad­gang mv.

 

Behandling uden den registreredes samtykke

Der kan i sær­li­ge til­fæl­de ske behand­ling uden den regi­stre­re­des samtyk­ke. Eksem­pel­vis hvis behand­lin­gen er nødven­dig af hen­syn til at forfølge en legi­tim inter­esse der over­sti­ger den regi­stre­rede inter­es­ser, af hen­syn til at opfyl­de en kon­trakt eller en ret­lig for­plig­tel­se eller (hvis der er tale om følsomme personoplysninger), hvis behand­lin­gen er nødven­dig for fast­lægge eller forsvare et rets­krav.

 

Behandling af personoplysninger og databeskyttelsesloven

Deru­d­over giver data­be­skyt­tel­ses­lo­vens § 12 mulig­hed for at behandle oplys­nin­ger i forbin­delse med ansæt­tel­ses­for­hold, hvis det er nødven­digt for at over­holde en arbejds­ret­lig forplig­telse eller hvis man forfølge en legi­tim inter­es­ser, der udsprin­ger af anden lovgiv­ning eller kollek­tiv overenskomst.

Databeskyttelsesreg­ler­ne inde­bæ­rer i øvrigt ikke en pligt, men kun en mulig­hed for at behand­le per­so­nop­lys­nin­ger. Man kan derfor ikke anvende reglerne til at pålægge en modpart – eksem­pel­vis en arbejds­gi­ver i en ansæt­tel­ses­sag – til at udle­vere oplys­nin­ger. Hvis man skal forpligte en part til at udle­vere oplys­nin­ger, skal man hente hjælp i andre regler – eksem­pel­vis i en arbejds­ret­lig forplig­telse, der måtte følge af overenskomst, kutyme eller loka­laf­tale.

 

De grundlæggende betingelser som dataansvarlig

Ved siden af de almin­de­li­ge reg­ler for behand­ling af per­so­nop­lys­nin­ger skal den data­ansvar­li­ge des­u­den opfyl­de de helt grund­læg­gen­de betin­gel­ser. De inde­bæ­rer, at ind­sam­ling skal ske til udtryk­ke­ligt angiv­ne og sag­li­ge for­mål, at ind­sam­ling kun skal omfat­te de nød­ven­di­ge og til­stræk­ke­li­ge oplys­nin­ger til netop dette for­mål, at oplys­nin­ger­ne løben­de skal opda­te­res og kva­li­tets­sik­res ved berig­ti­gel­se, lige­som de skal slet­tes, når de ikke læn­ge­re er nød­ven­di­ge til det oprin­de­li­ge for­mål.

 

Overholdelse af reglerne for behandling af personoplysninger

Gen­nem årene har vi set mange eksemp­ler på sager, hvor den data­ansvar­li­ge er ble­vet kri­ti­se­ret for at have ind­sam­let og behand­let personoplys­nin­ger i strid med persondata­lovens reg­ler. I sin sene­ste prak­sis – efter Data­be­skyt­tel­ses­for­ord­nin­gen  – har Data­til­sy­net desu­den indstil­let to virk­som­he­der til bøder på henholds­vis 1.2 og 1.5 mio. kr. for navn­lig mang­lende slet­ning af  følsomme oplys­nin­ger.

Selvom behand­lings­reg­lerne grund­læg­gende er de samme som efter den tidli­gere person­da­ta­lov, giver data­be­skyt­tel­ses­for­ord­nin­gen en række udfor­drin­ger, fordi forord­nin­gen forud­sæt­ter, at de data­ansvar­lige doku­men­te­ret har kort­lagt og over­ve­jet deres behov for indsam­ling og behand­ling af personoplysninger.

For at kunne doku­men­te­re, at data­be­skyt­tel­ses­for­ord­nin­gen og data­be­skyt­tel­ses­lo­ven efter­le­ves, skal alle offent­li­ge myn­dig­he­der, virk­som­he­der og for­e­nin­ger som data­ansvar­li­ge kort­læg­ge, hvad der sker med følsomme oplys­nin­ger­ne fra de ind­sam­les til de slet­tes eller arki­ve­res.

 

Hvordan sikrer man overholdelse af persondatareglerne?

  • Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


    Læs om typer af personoplysninger

    Copied

    Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


    Læs om typer af personoplysninger

  • Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som man vurde­rer, er nødven­digt (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet).


    Læs om rettig­heds­reg­ler

    Copied

    Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som man vurde­rer, er nødven­digt (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet).



    Læs om rettig­heds­reg­ler

  • Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


    Læs om den data­ansvar­li­ges forplig­tel­ser

    Copied

    Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


    Læs om den data­ansvar­li­ges forplig­tel­ser

  • Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).


    Læs ‘FIRE DOMME FRA HØJESTERET OM BEHANDLING AF PERSONOPLYSNINGER’

    Copied

    Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).



    Læs ‘FIRE DOMME FRA HØJESTERET OM BEHANDLING AF PERSONOPLYSNINGER’

  • Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig.


    Læs om behand­lings­reg­ler

    Copied

    Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig.


    Læs om behand­lings­reg­ler

  • Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


    Læs om indhol­det af data­be­skyt­tel­ses­for­ord­nin­gen

    Copied

    Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


    Læs om indhol­det af data­be­skyt­tel­ses­for­ord­nin­gen

 

Kontakt

Det er også en god idé at søge juri­disk bistand til de GDPR-relaterede spørgs­mål, som med sik­ker­hed vil opstå ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af reg­ler­ne i orga­ni­sa­tio­nen. Du er altid velkom­men til at kontakte os - så vi kan drøfte dine mulig­he­der nærmere.

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev