Hvornår må du behandle personoplysninger?

Du skal altid have et lovligt grundlag for at behandle personoplysninger. Her kan du læse om de forskellige grundlag, du kan basere behandlingen på.

Når du behandler personoplysninger, skal du have et retligt grundlag. Dette kaldes også en hjemmel.

Hjemlen afhænger af to ting:

  1. Typen af personoplysninger. Oplysningerne er i databeskyttelsesreglerne opdelt i personoplysninger og følsomme personoplysninger. I databeskyttelsesloven gælder der endvidere særlige regler for blandt andet behandling af CPR-numre. Du kan læse mere om denne opdeling under punktet "Hvad er personoplysninger?".
  2. Situationen, som gør det nødvendigt for dig at behandle personoplysningerne. Er der tale om opfyldelse af en kontrakt? En retlig forpligtelse? Er der tale om udførelse af en offentlig myndigheds opgaver? Det er ofte den sammenhæng, som en behandling indgår i, der afgør, hvilken hjemmel der er relevant for den dataansvarlige.

Retlige grundlag

Personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til:

  1. En kontrakt med den registrerede
  2. Den dataansvarliges retlige forpligtelser
  3. Den registreredes eller en anden fysisk persons vitale interesser
  4. En opgave i samfundets interesse eller offentlig myndighedsudøvelse
  5. En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder

Nr. 5 gælder ikke for offentlige myndigheders behandling af personoplysninger, og bør som oftest ikke anvendes ved behandling af personoplysninger om børn.

Behandling af følsomme personoplysninger

Betegnelsen følsomme personoplysninger dækker over bl.a. race, politisk overbevisning, religiøs overbevisning, helbredsoplysninger og seksuel orientering. Du kan læse mere om følsomme personoplysninger her.

Det er som udgangspunkt forbudt at behandle følsomme personoplysninger, men der findes en række undtagelser til dette forbud. 

For det første kan følsomme personoplysninger behandles uden samtykke, hvis den registrerede tydeligvis selv har offentliggjort oplysningerne på forhånd.

Derudover kan du behandle følsomme personoplysninger, hvis det er nødvendigt af hensyn til:

  1. Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder
  2. Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
  3. En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger (Omfatter ikke videregivelse uden for organisationen)
  4. Et retskravs fastlæggelse eller behandling
  5. Væsentlige samfundsinteresser
  6. Behandling af sundhedsfaglig karakter inden for sundhedssektoren
  7. Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål

Når du behandler følsomme oplysninger, skal du ud over at have et retligt grundlag (se ovenfor) også kunne identificere en af undtagelserne til forbuddet mod behandling af følsomme oplysninger.

Samtykke

Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den registrerede har givet sit samtykke til dette.

Men for at samtykke er gyldigt, skal det være frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende, og at der ikke må være tilknyttet (unødvendige) negative konsekvenser ved ikke at afgive et samtykke.

Derudover kan et samtykke altid trækkes tilbage. Samtykke er derfor ikke altid den mest hensigtsmæssige hjemmel. Hvis du har indledt en behandling på baggrund af et samtykke, er du endvidere som regel bundet af det formål, som den registrerede er blevet oplyst om, da samtykket blev indhentet.

Du kan læse meget mere om reglerne for samtykke i Datatilsynets vejledning om samtykke - og du kan også høre en episode i Datatilsynets podcast om netop dette emne.

Begrebet "samtykke" anvendes i vidt omfang også uden for databeskyttelsesretten, og betydningen og kravene til gyldigheden kan variere. Men hvis man baserer sin behandling af personoplysninger på et samtykke, er det vigtigt, at man opfylder de krav, der stilles til et databeskyttelsesretligt samtykke. Der anvendes for eksempel ikke-databeskyttelsesretlige samtykker inden for sundhedsfaglig behandling eller den sociale forvaltning. Her er der imidlertid ofte tale om behandlinger, hvor samtykket ikke udgør hjemmel til behandlingen, men hvor man ved lovgivning eller lignende har valgt at give den registrerede en mulighed for at sige fra over for behandlingen.

Behandling af oplysninger om strafbare forhold og personnummer (CPR-nummer) 

Oplysninger om strafbare forhold må ikke behandles af den offentlige forvaltning, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Oplysningerne må heller ikke videregives, medmindre:

  1. Den registrerede har givet sit udtrykkelige samtykke til videregivelsen,
  2. Videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,
  3. Videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller
  4. Videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.

Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Private må heller ikke videregive oplysningerne uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Private må alene behandle oplysninger om personnummer, når:

  1. Det følger af lovgivningen,
  2. Den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
  3. Behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
  4. Betingelserne i § 7 er opfyldt. 

Personnummer må ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.

Grundlæggende krav til behandling

Det er vigtigt at være opmærksom på, at begrebet “behandling” dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling – f.eks. indsamling – af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling – f.eks. videregivelse – af de samme oplysninger.

Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle bestemte oplysninger, så må den også systematisere, registrere, bruge og slette dem. Men det er f.eks. ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling.

Derudover er det afgørende, at når du behandler personoplysninger, er der nogle generelle og grundlæggende principper, som altid skal være opfyldt. Disse principper giver ikke i sig selv nogen ret til at behandle oplysninger, da dette også kræver en behandlingshjemmel, men principperne skal altid være opfyldt, når der er tale om en behandling under databeskyttelsesreglerne.

Du kan læse mere om de grundlæggende principper her.

Særlige former for behandling

En række behandlinger er underlagt særlig regulering i databeskyttelsesloven.

Det drejer sig om:

  • Retsinformationssystemer (§ 9)
  • Behandling med henblik på statistiske eller videnskabelige undersøgelser (§ 10)
  • Ansættelsesforhold (§ 12)
  • Markedsføring (§ 13)
  • Arkiv (§ 14)
  • Kreditoplysningsbureauer (§§ 15-21)

 

Denne side kort fortalt

  • Du skal altid have et lovligt grundlag for at behandle personoplysninger.
  • Det er forbudt at behandle følsomme personoplysninger, men der findes en række undtagelser.
  • Du kan også indhente et samtykke, men et samtykke skal opfylde en række strenge krav, før det er gyldigt - og et samtykke kan altid trækkes tilbage.

Vil du hellere lytte end at læse?

Datatilsynet har udgivet en podcast, hvor du kan få en indføring i reglerne.

Hør episoden "Hvornår må du behandle personoplysninger" 

Hør episoden "Samtykke - hvornår og hvordan?" 

Se oversigten over alle episoderne i podcasten