Videregivelse af personoplysninger

Hvornår må man videregive personoplysninger?

Deling og vide­re­gi­velse af personoplysninger er såkaldte behand­lin­ger ifølge data­be­skyt­tel­ses­lo­v­giv­nin­gen. Derfor skal de altid ske med grund­lag i et af data­be­skyt­tel­ses­lo­v­giv­nin­gens behand­lings­grund­lag eller med hjem­mel i anden lovgivning.

Inden du vide­re­gi­ver personoplysninger, skal du være sikker på, at vide­re­gi­vel­sen har et lovligt grund­lag. Du skal altså fast­lægge, hvil­ken hjem­mel, som ligger til grund for vide­re­gi­vel­sen. Samti­digt kan du even­tu­elt også over­veje hvil­ken hjem­mel, der er mest hensigts­mæs­sig at anvende.

Data­be­skyt­tel­ses­lo­ven nævner en række krite­rier for, at man lovligt kan behandle personoplysninger, herun­der vide­re­give dem. De hjem­ler, som man kan anvende som data­ansvar­lig, vil først og frem­mest afhænge af typen af personoplysninger, som videregives.

I data­be­skyt­tel­ses­lo­ven er perso­nop­lys­nin­gerne opdelt i almin­de­lige og følsomme oplys­nin­ger. Desu­den gælder der særlige regler for behand­ling (herun­der vide­re­gi­velse) af CPR-numre og straf­bare forhold.

Videregivelse af personoplysninger

Du kan læse mere om de forskel­lige typer af personoplysninger på vores side om behand­ling af personoplysninger.

 

Samtykkeerklæring til behandling af personoplysninger

Som udgangs­punkt har man ret til at vide­re­give personoplysninger, hvis den regi­stre­rede har givet samtykke til det. Samtyk­ket skal være udtryk­ke­ligt, hvis der er tale om følsomme oplysninger.

Et samtykke skal opfylde en række grund­læg­gende betin­gel­ser: Det skal være frivil­ligt, speci­fikt, infor­me­ret og utve­ty­digt. Den regi­stre­rede skal desu­den oply­ses om mulig­he­den for, at man altid kan trække sit samtykke tilbage. For at samtyk­ket er tilstræk­ke­ligt infor­me­ret og speci­fikt, skal infor­ma­tio­nen i samtyk­ke­er­klæ­rin­gen som mini­mum bestå af følgende oplysninger:

 

  1. Den data­ansvar­li­ges identitet
  2. Formå­let med den påtænkte behandling
  3. Hvilke personoplysninger der behandles
  4. Retten til at trække samtyk­ket tilbage

 

Da et samtykke altid kan træk­kes tilbage, er det ikke nødven­dig­vis den mest hensigts­mæs­sige hjem­mel at bruge ved vide­re­gi­velse af personoplysninger. Hvis du har indledt en behand­ling på baggrund af et samtykke, er du desu­den typisk bundet af det konkrete formål, som den regi­stre­rede er blevet oplyst om, da samtyk­ket blev indhentet.

 

Videregivelse af personoplysninger uden samtykke

Der er særlige undta­gel­ser, hvor det ikke er nødven­digt at få den regi­stre­re­des samtykke, før man kan vide­re­give oplys­nin­ger til andre. Det kan ske, hvis vide­re­gi­vel­sen er nødven­dig af hensyn til:

 

  • En kontrakt med den registrerede
  • Den data­ansvar­li­ges rets­lige forpligtelser
  • Den regi­stre­re­des eller en anden fysisk persons vitale interesser
  • En opgave i samfun­det inter­esse eller en offent­lig myndighedsudøvelse
  • En legi­tim inter­esse, der ikke over­gås af den regi­stre­re­des inter­es­ser eller rettigheder

 

Dette kalder man også de almin­de­lige betin­gel­ser for behand­ling af oplys­nin­ger, data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 5.

Hvis man vide­re­gi­ver oplys­nin­ger, fordi man forføl­ger en legi­tim inter­esse, skal man huske at infor­mere den regi­stre­rede om pågæl­den­des ret til at gøre indsi­gelse mod behand­lin­gen. Det skal gøres senest første gang, man kommu­ni­ke­rer med pågæl­dende, og skal meddeles klart og adskilt fra alle andre oplys­nin­ger, jf. data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 21.

 

Videregivelse af følsomme oplysninger med samtykke som hjemmel

Når det kommer til følsomme personoplysninger (f.eks. oplys­ning om etnisk oprin­delse, poli­tisk, reli­giøs over­be­vis­ning, fagfor­e­nings­mæs­sigt tilhørs­for­hold eller helbreds­op­lys­nin­ger), skær­pes kravene til behand­ling, jf. data­be­skyt­tel­ses­for­ord­nin­gen arti­kel 9.

Hvis man ønsker at anvende et samtykke i forbin­delse med vide­re­gi­velse af følsomme oplys­nin­ger, gælder der — udover det skal opfylde de almin­de­lige betin­gel­ser — at samtyk­ket desu­den skal være udtryk­ke­ligt.

I begre­bet udtryk­ke­ligt samtykke ligger, at samtyk­ket skal være klart, utve­ty­digt, og at der ikke må være nogen tvivl om, at samtyk­ket er afgivet.

Selvom samtyk­ket skal være udtryk­ke­ligt, behø­ver det ikke nødven­dig­vis at være skrift­ligt. Man bør dog som data­ansvar­lig altid stræbe efter at få et skrift­ligt samtykke, da man altid skal kunne doku­men­tere, at den regi­stre­rede har afgi­vet et udtryk­ke­ligt samtykke.

 

Videregivelse af følsomme oplysninger uden samtykke som hjemmel

Følsomme personoplysninger kan bl.a. også vide­re­gi­ves, hvis det er nødven­digt for, at et rets­krav kan fast­læg­ges, gøres gældende eller forsva­res. Her kan rets­krav fra både den data­ansvar­lige, den regi­stre­rede eller tred­je­mand ligge til grund for, at de person­føl­somme oplys­nin­ger kan videregives.

Desu­den kan følsomme oplys­nin­ger bl.a. vide­re­gi­ves, hvis det er nødven­digt for at over­holde den data­ansvar­li­ges eller den regi­stre­re­des arbejds‑, sund­heds og soci­al­ret­lige forplig­tel­ser og speci­fikke rettigheder.

Hvis man forføl­ger et rets­krav og vide­re­gi­ver følsomme oplys­nin­ger til forføl­gelse af sit formål, skal man i øvrigt være opmærk­som på, at vide­re­gi­vel­sen vil være base­ret på en kombi­na­tion af de almin­de­lige og de skær­pede betin­gel­ser. Det bety­der, at behand­lin­gen typisk være base­ret på også den almin­de­lige betin­gelse om legi­tim inter­esse, hvil­ket igen bety­der, at man skal huske at gøre den regi­stre­rede opmærk­som på indsigelsesretten.

Deru­d­over kan vide­re­gi­ves såvel almin­de­lige som følsomme oplys­nin­ger i forbin­delse med ansæt­tel­ses­for­hold, hvis det er nødven­digt for at forfølge en legi­tim inter­esse, som udsprin­ger af anden lovgiv­ning eller kollek­tive overenskom­ster, medmin­dre hensyn til den regi­stre­rede vægter tungere, jf. § 12 i data­be­skyt­tel­ses­lo­ven.

Denne bestem­melse er en dansk regel og inde­bæ­rer derfor ikke, at man skal gøre den regi­stre­rede opmærk­som på indsi­gel­ses­ret­ten efter data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 21.

 

Videregivelse af CPR-nummer

Offent­lige myndig­he­der kan behandle oplys­nin­ger om CPR-nummer med henblik på en enty­dig iden­ti­fi­ka­tion eller som jour­nalnum­mer, jf. § 11 i data­be­skyt­tel­ses­lo­ven.

 

Som privat må man alene behandle oplys­nin­ger om CPR-nummer, når:

  1. Det følger af lovgivningen
  2. Den regi­stre­rede har givet samtykke hertil
  3. Behand­lin­gen af personoplysninger alene finder sted til viden­ska­be­lige eller stati­sti­ske formål
  4. Der er tale om vide­re­gi­velse af oplys­nin­ger om person­num­mer, når vide­re­gi­vel­sen er et natur­ligt led i den normale drift af virksomheder.
  5. Betin­gel­serne i § 7 i Data­be­skyt­tel­ses­lo­ven er opfyldt

 

Sikkerhedskrav ved videregivelse af personoplysninger

Det er vigtigt at man som data­ansvar­lig sørger for at efter­leve de tekni­ske sikker­heds­krav, der er i forbin­delse med vide­re­gi­velse af personoplysninger.

 

E‑mail:

Ved vide­re­gi­velse af fortro­lige og følsomme personoplysninger via e‑mail stil­ler Data­til­sy­net krav til, at man anven­der en kryp­te­ret mail­løs­ning – hvil­ken løsning man burde bruge, kommer an på formålet:

Ifølge Data­til­sy­net skal man som mini­mum bruge TLS version 1.2, hvis man over­fø­rer fortro­lige eller følsomme oplys­nin­ger. Her er det vigtigt at vide sig sikker på, at modta­ge­rens mail­ser­ver også under­støt­ter TLS, da kommu­ni­ka­tio­nen ellers rela­tivt let vil kunne opsnap­pes eller manipuleres.

Du kan teste her om en modta­gers mail­ser­ver under­støt­ter TLS

Deru­d­over skal man anvende end-to-end kryp­te­ring, hvis der er en særlig høj risiko for den regi­stre­rede, f.eks. ved behand­ling af helbreds­op­lys­nin­ger og lignende.

 

SMS:

Data­til­sy­net har vurde­ret, at følsomme oplys­nin­ger ikke bør sendes via SMS, da risi­koen for at regi­stre­re­des rettig­he­der bliver kræn­ket er for stor, pga. mang­lende kryp­te­ring ved transmissionen.

Følsomt indhold må dog undta­gel­ses­vis godt sendes med SMS eller ukryp­te­ret e‑mail, hvis det efter et social- eller læge­fag­ligt skøn er påkræ­vet for at få kontakt til den registrerede.

 

Brevpost:

I forbin­delse med vide­re­gi­velse af personoplysninger via brev­post er der en risiko for at regi­stre­re­des rettig­he­der bliver kræn­ket. F.eks. hvis der sker en fejl­for­sen­delse, eller hvis forsen­del­sen går tabt på anden vis. For at undgå dette kan man ved forsen­delse af USB-stik eller CD med person­føl­somt indhold, sørge for at indhol­det er krypteret.

 

Cloud-løsninger:

Når man anven­der en cloud-løsning i forbin­delse med vide­re­gi­velse af personoplysninger (og ved behand­ling gene­relt), er det vigtigt, at der indgås en data­be­hand­ler­af­tale med leve­ran­dø­ren af cloud-løsningen, og at der fore­ta­ges en risi­ko­vur­de­ring af risi­ci­ene forbun­det med behand­ling af perso­nop­lys­nin­gerne i cloud-løsningen.

En af udfor­drin­gerne ved anven­delse af cloud-løsninger er, at det ikke altid ligger helt klart hvor data­ene rent fysisk opbe­va­res. Hvis person­da­ta­ene ligger på en server uden for EU-området skal man stadig som data­ansvar­lig sikre sig, at behand­lin­gen efter­le­ver data­be­skyt­tel­ses­for­ord­nin­gens. En udfor­dring i forbin­delse med indgå­else af en data­be­hand­ler­af­tale med en cloud-leverandør uden for EU-området er, at leve­ran­dø­ren typisk vil anvende stan­dard­vil­kår, der ikke nødven­dig­vis lever op til den danske databeskyttelsesloven.

 

Kontakt

Hvis du har en hensigt om at vide­re­give personoplysninger, og er i tvivl om, hvor­vidt du må vide­re­give oplys­nin­gerne og i givet fald, hvor­dan du skal gøre det mest hensigts­mæs­sigt, er du meget velkom­men til at kontakte os til en ufor­plig­tende snak om dine mulig­he­der. Vi kan også bistå med at få udar­bej­det gode proce­du­rer for hånd­te­ring af person­data på alle niveauer. Også gennem hele kæden af behandlinger.

 

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev