Det har hidtil været Datatilsynets opfattelse, at dataansvarlige, som behandlede følsomme oplysninger – foruden de grundlæggende principper for behandling af personoplysninger i databeskyttelsesforordningens artikel 5 – alene har skullet finde et behandlingsgrundlag i de bestemmelser, der specifikt omhandlede behandlingen heraf, dvs. reglerne i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører artikel 9.
På baggrund af bl.a. flere EU-tekster, herunder vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB) og domme afsagt af EU-Domstolen, vurderer Datatilsynet, at det ikke længere vil være muligt at opretholde denne retsopfattelse.
Fremadrettet vil det derfor være Datatilsynets opfattelse, at dataansvarlige, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1, skal kunne identificere en undtagelse til dette forbud i enten forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9, og et lovligt grundlag for behandling i forordningens artikel 6. Hertil kommer principperne for behandling af personoplysninger i databeskyttelsesforordningens artikel 5, der altid skal være opfyldt.
En dataansvarlig, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i forordningens artikel 9, stk. 1, skal derfor fremadrettet tage stilling til, om der – foruden en undtagelse til forbuddet i forordningens artikel 9, stk. 2, dvs. enten direkte i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9 – tillige er et lovligt grundlag for denne behandling i forordningens artikel 6.
Som følge af den højere integritetsbeskyttelse, der i forvejen følger af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, er det Datatilsynets vurdering, at betingelserne i databeskyttelsesforordningens artikel 6 sædvanligvis vil være opfyldt, hvis der kan identificeres en undtagelse til forbuddet i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9.
På den baggrund vurderer Datatilsynet, at den ændrede opfattelse af samspillet mellem databeskyttelsesforordningens artikel 6 og artikel 9 i forhold til spørgsmålet om betingelserne for behandling af oplysninger navnlig vil have betydning for vurderingen af – og muligheden for – indsigelser efter forordningens artikel 21. Den registrerede vil med den ændrede opfattelse få mulighed for at kunne gøre indsigelse mod behandling af følsomme oplysninger omfattet af databeskyttelsesforordningens artikel 9 i de tilfælde, hvor behandlingen – foruden at opfylde en af undtagelserne i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9 – sker på grundlag af forordningens artikel 6, stk. 1, litra e eller f.
Datatilsynet kan ikke afvise, at der kan forekomme enkelte tilfælde, hvor den ændrede retsopfattelse kan indebære, at behandling af følsomme oplysninger ikke lovligt kan ske, fordi ingen af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt, selv om der kan identificeres en undtagelse til forbuddet i forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9.
Som eksempel herpå kan nævnes den situation, at en dataansvarlig – f.eks. en virksomhed – med henblik på at målrette markedsføring opretter et register over personer med en bestemt sygdom eller et bestemt politisk tilhørsforhold, som de pågældende personer har omtalt på de sociale medier.
Det vil i dette tilfælde være muligt for virksomheden at identificere en undtagelse til forbuddet mod behandling af følsomme oplysninger, idet behandlingen vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede, jf. forordningens artikel 9, stk. 2, litra e. Efter Datatilsynets opfattelse vil der derimod sædvanligvis ikke foreligge et lovligt grundlag for behandling i forordningens artikel 6, stk. 1, litra a-f, i et sådant tilfælde.
Det bemærkes, at efter Datatilsynets vurdering ville behandlingen i ovenstående tilfælde sædvanligvis heller ikke være lovlig efter tilsynets hidtidige retsopfattelse, idet behandlingen ikke er i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5.
Datatilsynet kan ikke afvise, at der vil være dataansvarlige, der vil skulle foretage visse ændringer i deres databeskyttelsesretlige dokumenter, herunder persondatapolitikker, meddelelser efter databeskyttelsesforordningens artikel 13 og 14 og fortegnelser efter artikel 30. Det må dog antages, at de fleste dataansvarlige, som behandler følsomme oplysninger, i forvejen også behandler ikke-følsomme oplysninger og derfor allerede har gjort sig klart – og formentlig allerede oplyser om – det retlige grundlag for behandling efter forordningens artikel 6.
Datatilsynet forventer imidlertid ikke, at dataansvarlige – som følge af den ændrede retsopfattelse – genåbner alle databeskyttelsesretlige dokumenter, herunder fortegnelsen. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af databeskyttelsesretlige dokumenter sker løbende, når dokumenterne alligevel skal justeres eller ajourføres af den dataansvarlige.
Hvis du ønsker at læse mere om, hvad baggrunden for den ændrede retsopfattelse er, kan du læse Datatilsynets baggrundsnotat om betydningen af databeskyttelsesforordningens artikel 6 ved behandling af særlige kategorier af personoplysninger (følsomme personoplysninger) omfattet af forordningens artikel 9.
Datatilsynet vil i den kommende tid i øvrigt prioritere at ændre de af tilsynet offentliggjorte hjemmesidetekster, vejledninger m.v., som endnu ikke afspejler den ændrede retsopfattelse.
Datatilsynet bemærker for god ordens skyld, at tilsynet er af den opfattelse, at behandling af oplysninger om strafbare forhold i henhold til databeskyttelseslovens § 8 ikke kræver, at der samtidig identificeres en behandlingshjemmel i databeskyttelsesforordningens artikel 6. Dette skyldes, at databeskyttelseslovens § 8 er udtryk for en udnyttelse af den særlige mulighed for at fastsætte nationale regler om behandling af oplysninger om straffedomme og lovovertrædelser, der følger af forordningens artikel 10. Det bemærkes i den forbindelse, at oplysninger om strafbare forhold ikke er omfattet af de særlige kategorier af personoplysninger, som reguleres i forordningens artikel 9.
Databeskyttelseslovens §§ 9 og 10 er en gennemførelse af én af undtagelserne i forordningens artikel 9, stk. 2, som ligger inden for rammerne af det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2-3, for så vidt angår grundlaget for lovlig behandling. I sådanne tilfælde vil det alene være relevant at vurdere, om den nationale bestemmelse er opfyldt.
Databeskyttelseslovens § 11 om behandling af oplysninger om personnummer og databeskyttelseslovens § 12 om behandling af oplysninger i forbindelse ansættelsesforhold er en udnyttelse af den særlige mulighed for fastsættelse af nationale regler, der følger af databeskyttelsesforordningens artikel 87 og 88, og der skal ved behandling af sådanne oplysninger derfor ikke tillige identificeres et lovligt grundlag i databeskyttelsesforordningens artikel 6.
Læs mere om ændringen i dette baggrundnotat.