Når du behandler personoplysninger, skal du have et retligt grundlag. Dette kaldes også en hjemmel.
Hjemlen afhænger af to ting:
- Typen af personoplysninger. Oplysningerne er i databeskyttelsesreglerne opdelt i personoplysninger og følsomme personoplysninger. I databeskyttelsesloven gælder der endvidere særlige regler for blandt andet behandling af CPR-numre. Du kan læse mere om denne opdeling under punktet "Hvad er personoplysninger?".
- Situationen, som gør det nødvendigt for dig at behandle personoplysningerne. Er der tale om opfyldelse af en kontrakt? En retlig forpligtelse? Er der tale om udførelse af en offentlig myndigheds opgaver? Det er ofte den sammenhæng, som en behandling indgår i, der afgør, hvilken hjemmel der er relevant for den dataansvarlige.
Retlige grundlag
Behandling af personoplysninger er kun lovlig, hvis mindst ét af følgende forhold gør sig gældende:
- Den registrerede har givet sit samtykke til behandlingen.
Samtykke er alene et af seks behandlingsgrundlag. Det er således ikke altid, at en dataansvarlig skal have den registreredes samtykke. Hvis man vælger at basere behandlingen på den registreredes samtykke, er der en række krav, der skal overholdes. Du kan læse mere om reglerne for samtykke i Datatilsynets vejledning herom.
- Behandlingen er nødvendig af hensyn til en kontrakt med den registrerede.
Nogle gange er det, for at den dataansvarlige kan opfylde en kontrakt, nødvendigt at behandle oplysninger om den registrerede. Dette kan blandt andet være tilfældet i et ansættelsesforhold. En aftale mellem den dataansvarlige og tredjemand kan ikke danne grundlag for behandlingen.
- Behandlingen er nødvendig af hensyn til en retlig forpligtelse.
Den dataansvarlige kan behandle oplysninger om den registrerede, hvis det følger af en anden lov – eksempelvis hvidvaskloven eller bogføringsloven.
- Behandlingen er nødvendig af hensyn til den registrerede eller en anden fysisk persons vitale interesser.
Dette kan være tilfældet, hvis den registrerede ikke er i stand til at give samtykke – eksempelvis på grund af sygdom.
- Behandling er nødvendig af hensyn til en opgave i samfundets interesse eller offentlig myndighedsudøvelse.
Bestemmelsen retter sig primært mod offentlige myndigheders behandling af personoplysninger. Når myndigheder behandler oplysninger om borgere, vil det ofte være på baggrund af denne hjemmel. Det betyder blandt andet, at myndigheder som udgangspunkt ikke vil skulle have dit samtykke. Det kan imidlertid være, at myndigheden skal indhente et samtykke efter andre regelsæt.
- Behandlingen er nødvendig af hensyn til en legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder.
Bestemmelsen er en interesseafvejningsregel, og der skal således foretages en vurdering af på den ene side den dataansvarliges legitime interesse og på den anden side hensynet til den registrerede. Bestemmelsen vil udgøre behandlingsgrundlaget for en række behandlinger af personoplysninger, der foretages af private dataansvarlige. Som det klare udgangspunkt kan dette grundlag ikke anvendes af offentlige myndigheder.
Behandling af følsomme personoplysninger
Betegnelsen følsomme personoplysninger dækker over bl.a. race, politisk overbevisning, religiøs overbevisning, helbredsoplysninger og seksuel orientering. Du kan læse mere om følsomme personoplysninger her.
Det er som udgangspunkt forbudt at behandle følsomme personoplysninger, men der findes en række undtagelser til dette forbud.
For det første kan følsomme personoplysninger behandles uden samtykke, hvis den registrerede tydeligvis selv har offentliggjort oplysningerne på forhånd.
Derudover kan du behandle følsomme personoplysninger, hvis det er nødvendigt af hensyn til:
- Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder
- Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
- En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger (Omfatter ikke videregivelse uden for organisationen)
- Et retskravs fastlæggelse eller behandling
- Væsentlige samfundsinteresser
- Behandling af sundhedsfaglig karakter inden for sundhedssektoren
- Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål
Når du behandler følsomme oplysninger, skal du ud over at have et retligt grundlag (se ovenfor) også kunne identificere en af undtagelserne til forbuddet mod behandling af følsomme oplysninger.
Samtykke
Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den registrerede har givet sit samtykke til dette.
Men for at samtykke er gyldigt, skal det være frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende, og at der ikke må være tilknyttet (unødvendige) negative konsekvenser ved ikke at afgive et samtykke.
Derudover kan et samtykke altid trækkes tilbage. Samtykke er derfor ikke altid den mest hensigtsmæssige hjemmel. Hvis du har indledt en behandling på baggrund af et samtykke, er du endvidere som regel bundet af det formål, som den registrerede er blevet oplyst om, da samtykket blev indhentet.
Du kan læse meget mere om reglerne for samtykke i Datatilsynets vejledning om samtykke - og du kan også høre en episode i Datatilsynets podcast om netop dette emne.
Begrebet "samtykke" anvendes i vidt omfang også uden for databeskyttelsesretten, og betydningen og kravene til gyldigheden kan variere. Men hvis man baserer sin behandling af personoplysninger på et samtykke, er det vigtigt, at man opfylder de krav, der stilles til et databeskyttelsesretligt samtykke. Der anvendes for eksempel ikke-databeskyttelsesretlige samtykker inden for sundhedsfaglig behandling eller den sociale forvaltning. Her er der imidlertid ofte tale om behandlinger, hvor samtykket ikke udgør hjemmel til behandlingen, men hvor man ved lovgivning eller lignende har valgt at give den registrerede en mulighed for at sige fra over for behandlingen.
Behandling af oplysninger om strafbare forhold og personnummer (CPR-nummer)
Oplysninger om strafbare forhold må ikke behandles af den offentlige forvaltning, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. Oplysningerne må heller ikke videregives, medmindre:
- Den registrerede har givet sit udtrykkelige samtykke til videregivelsen,
- Videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår,
- Videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, eller
- Videregivelsen er nødvendig for udførelsen af en persons eller virksomheds opgaver for det offentlige.
Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede. Private må heller ikke videregive oplysningerne uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.
Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
Private må alene behandle oplysninger om personnummer, når:
- Det følger af lovgivningen,
- Den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
- Behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
- Betingelserne i § 7 er opfyldt.
Personnummer må ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.
Grundlæggende krav til behandling
Det er vigtigt at være opmærksom på, at begrebet “behandling” dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling – f.eks. indsamling – af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling – f.eks. videregivelse – af de samme oplysninger.
Normalt giver det ikke anledning til tvivl, at når en offentlig myndighed eller privat virksomhed må indsamle bestemte oplysninger, så må den også systematisere, registrere, bruge og slette dem. Men det er f.eks. ikke uden videre givet, at oplysningerne også må videregives til andre. Dette skal vurderes særskilt på baggrund af reglerne om behandling.
Derudover er det afgørende, at når du behandler personoplysninger, er der nogle generelle og grundlæggende principper, som altid skal være opfyldt. Disse principper giver ikke i sig selv nogen ret til at behandle oplysninger, da dette også kræver en behandlingshjemmel, men principperne skal altid være opfyldt, når der er tale om en behandling under databeskyttelsesreglerne.
Du kan læse mere om de grundlæggende principper her.
Særlige former for behandling
En række behandlinger er underlagt særlig regulering i databeskyttelsesloven.
Det drejer sig om:
- Retsinformationssystemer (§ 9)
- Behandling med henblik på statistiske eller videnskabelige undersøgelser (§ 10)
- Ansættelsesforhold (§ 12)
- Markedsføring (§ 13)
- Arkiv (§ 14)
- Kreditoplysningsbureauer (§§ 15-21)