Hvornår må du behandle personoplysninger?

Inden du behandler personoplysninger, skal du sikre dig, at din behandling har et lovligt grundlag. Du skal med andre ord fastlægge, hvilken behandlingshjemmel der ligger til grund for din behandling, og eventuelt hvilken hjemmel der er mest hensigtsmæssig at anvende.

Databeskyttelsesreglerne nævner en række betingelser for, at der kan ske lovlig behandling af personoplysninger. Betingelserne kaldes også for hjemler til at behandle personoplysninger.

De hjemler, den dataansvarlige kan anvende, vil for det første afhænge af typen af personoplysninger. Oplysningerne er i databeskyttelsesreglerne opdelt i almindelige og følsomme oplysninger. I databeskyttelsesloven gælder der endvidere særlige regler for blandt andet behandling af CPR-numre.

Du kan læse mere om denne opdeling under punktet "Hvad er personoplysninger?".

Den dataansvarlige skal for det andet overveje den situation, som nødvendiggør behandlingen af personoplysninger. Er der tale om opfyldelse af en kontrakt? En retlig forpligtelse? Er der tale om udførelse af en offentlig myndigheds opgaver? Det er ofte den sammenhæng, som en behandling indgår i, der afgør, hvilken hjemmel der er relevant for den dataansvarlige.

Samtykke

Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den registrerede har givet sit samtykke til dette.

Et samtykke inden for databeskyttelsesretten skal opfylde en række særlige betingelser, som du kan læse om i Datatilsynets vejledning om samtykke under "Vejledninger og skabeloner". Samtykket skal være frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende, og at der ikke må være tilknyttet (unødvendige) negative konsekvenser ved ikke at afgive et samtykke.

Det er også vigtigt at være opmærksom på, at et samtykke altid kan trækkes tilbage. Samtykke er derfor ikke altid den mest hensigtsmæssige hjemmel. Hvis du har indledt en behandling på baggrund af et samtykke, er du endvidere som regel bundet af det formål, som den registrerede er blevet oplyst om, da samtykket blev indhentet.

Det skal endvidere bemærke, at begrebet "samtykke" anvendes i vidt omfang - også uden for databeskyttelsesretten. Det er derfor vigtigt at være opmærksom på, at et samtykke inden for databeskyttelsesretten skal opfylde de nævnte betingelser.

Der anvendes for eksempel ikke-databeskyttelsesretlige samtykker inden for sundhedsfaglig behandling eller den sociale forvaltning. Her er der imidlertid ofte tale om behandlinger, hvor samtykket ikke udgør hjemmel til behandlingen, men hvor man ved lovgivning eller lignende har valgt at give den registrerede en mulighed for at sige fra over for behandlingen.

Behandling af almindelige personoplysninger

Almindelige personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til:

  1. En kontrakt med den registrerede
  2. Den dataansvarliges retlige forpligtelser
  3. Den registreredes eller en anden fysisk persons vitale interesser
  4. En opgave i samfundets interesse eller offentlig myndighedsudøvelse
  5. En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder

Nr. 5 gælder ikke for offentlige myndigheders behandling af personoplysninger, og bør som oftest ikke anvendes ved behandling af personoplysninger om børn.

Behandling af følsomme personoplysninger

Særlige kategorier af følsomme personoplysninger kan behandles uden samtykke, hvis den registrerede tydeligvis selv har offentliggjort oplysningerne på forhånd.

Særlige kategorier af følsomme oplysninger kan endvidere behandles, hvis det er nødvendigt af hensyn til:

  1. Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder
  2. Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
  3. En politisik, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger (Omfatter ikke videregivelse uden for organisationen)
  4. Et retskravs fastlæggelse eller behandling.
  5. Væsentlige samfundsinteresser
  6. Behandling af sundhedsfaglig karakter inden for sundhedssektoren
  7. Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål

Behandling af oplysninger om strafbare forhold og personnummer (CPR-nummer) 

Oplysninger om strafbare forhold må ikke behandles for den offentlige forvaltning, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Oplysningerne må heller ikke videregives, medmindre:

  1. Den registrerede har givet sit udtrykkelige samtykke til videregivelsen,
  2. Videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,
  3. Videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller
  4. Videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Private må heller ikke videregive oplysningerne uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Private må alene behandle oplysninger om personnummer, når:

  1. Det følger af lovgivningen,
  2. Den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
  3. Behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
  4. Betingelserne i § 7 er opfyldt. 

Personnummer må ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.

Særlige former for behandling

En række behandlinger er underlagt særlig regulering i databeskyttelsesloven.

Det drejer sig om:

  • Retsinformationssystemer (§ 9)
  • Behandling med henblik på statistiske eller videnskabelige undersøgelser (§ 10)
  • Ansættelsesforhold (§ 12)
  • Markedsføring (§ 13)
  • Arkiv (§ 14)
  • Kreditoplysningsbureauer (§§ 15-21)

Du kan læse om en række af disse behandlinger under menpunktet "Emner".

Grundlæggende krav til behandling

Når en offentlig myndighed eller privat virksomhed m.v. behandler personoplysninger, er der nogle generelle og grundlæggende principper, som altid skal være opfyldt. Disse principper giver ikke i sig selv nogen ret til at behandle oplysninger, da dette også kræver en behandlingshjemmel, men principperne altid være opfyldt, når der er tale om en behandling under databeskyttelsesreglerne.

Du kan læse mere herom under punktet "Hvad er dine forpligtelser?".