Send en besked

9 + 1 =

Behandlingsgrundlag

Introduktion

For at du kan behandle personoplysninger lovligt, kræver det et behandlingsgrundlag (også kaldet hjemmel).

Hovedreglen i databeskyttelsesforordningen (GDPR) er, at behandling af personoplysninger ikke er lovlig, medmindre behandlingen er omfattet af en af de betingelser, som man finder i forordningen. Det gælder derfor om at undersøge, hvilke af disse betingelser, man kan gøre brug af. Er der ingen af betingelserne, som kan passe – ja, så er behandlingen ikke lovlig, og så må du ikke behandle oplysningerne.

Husk på, at I visse tilfælde er en behandling af personoplysninger ikke omfattet af GDPR – for eksempel hvis det sker i forbindelse med rent personlige eller familiemæssige aktiviteter. Læs mere om, hvad en behandling er i afsnittet “Generelt om GDPR“.

Forskellige kategorier af oplysninger kræver forskellige behandlingsgrundlag.

For at finde det rigtige behandlingsgrundlag, skal du først identificere, hvilken slags personoplysning, du behandler. I Danmark skal vi især forholde os til disse 4 kategorier:

Almindelige personoplysninger

Navn, adresse, telefonnummer, portrætfotos, økonomiske forhold m.v. Dvs. oplysninger, der ikke kan høre under de følsomme oplysninger, og som ikke omhandler strafbare forhold eller CPR-nummer.

Følsomme personoplysninger

(Også kaldet “særlige” personoplysninger)

  • Oplysninger om race og etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data mhp. identifikation
  • Helbredsoplysninger
  • Oplysninger om seksuelle forhold eller seksuel orientering.
Strafbare forhold

Oplysninger om straffedomme og lovovertrædelser – herunder også en begrundet mistanke om lovovertrædelser (men ikke ubegrundede beskyldninger).

CPR-nummer

Oplysninger om CPR-nummer.

Behandlingsgrundlag for almindelige personoplysninger

I databeskyttelsesforordningen (GDPR) findes der seks forskellige undtagelser eller betingelser, som kan gøre det lovligt at behandle de almindelige personoplysninger.

Samtykke

Den registrerede kan give samtykke til behandlingen. Her skal man huske på, at et samtykke kun bør anvendes, hvis der ikke findes andre lovlige behandlingsgrundlag. Desuden skal et samtykke opfylde en række faste kriterier for at være gyldigt. Læs mere om det i afsnittet “Samtykke“.

Nødvendig for at opfylde en kontrakt

Hvis man indgår en kontrakt – for eksempel en kundekontrakt eller en ansættelseskontrakt – kan man dermed lovligt behandle de personoplysninger, som er nødvendige at behandle for at opfylde kontrakten.

Det betyder derfor også, at dette behandlingsgrundlag ikke omfatter en behandling af oplysninger, som ikke er nødvendige for at opfylde kontrakten – og så skal man supplere med andre behandlingsgrundlag (eller undlade at behandle de “unødvendige” oplysninger).

Læs også mere om dette i afsnittet “GDPR i ansættelsesforhold“.

Nødvendig for at overholde anden lovgivning

I visse tilfælde kan man være underlagt anden lovgivning, som pålægger, at man foretager en behandling af personoplysninger.

Det kan for eksempel dreje sig om lovpligtig opbevaring af regnskabsmateriale, som man skal opbevare i 5 år jf. bogføringsloven. I regnskabsmateriale kan der jævnligt optræde personoplysninger, som er nødvendigt – for eksempel debitors navn og adresse.

Nødvendig for at beskytte vitale interesser

I særlige tilfælde kan man behandle personoplysninger lovligt, hvis det sker for at beskytte den registreredes helbred.

Det kan for eksempel være i akutte tilfælde, hvor den registrerede er syg eller tilskadekommen og i øvrigt ikke er i stand til at afgive sit samtykke.

Samfundets interesse og offentlig myndighedsudøvelse

En behandling af personoplysninger kan være lovlig, hvis den er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller fordi man som dataansvarlig har fået pålagt en opgave, der hører under offentlig myndighedsudøvelse.

Dette behandlingsgrundlag gælder i vid udstrækning primært for den offentlige sektor, men i visse tilfælde kan reglen også være relevant for dataansvarlige i den private sektor.

Legitim interesse

Hvis du ønsker at behandle oplysninger på baggrund af en legitim (saglig) interesse, skal du foretage en såkaldt interesseafvejning.

Det sker ved, at du vurderer, hvem der har den største interesse:

  • Har du – som dataansvarlig – størst interesse i, at behandlingen foretages?
  • Har den registrerede størst interesse i, at behandlingen ikke foretages.

Hvis interesseafvejningen falder ud til den dataansvarliges fordel, er behandlingen lovlig. Vær dog opmærksom på, at du skal være meget grundig omkring interesseafvejning: alle konsekvenser for den registrerede skal inddrages i vurderingen.

Behandlingsgrundlag for følsomme personoplysninger

I databeskyttelsesforordningen (GDPR) findes der ti forskellige undtagelser eller betingelser, som kan gøre det lovligt at behandle de følsomme (særlige) personoplysninger.

Samtykke

Den registrerede kan give samtykke til behandlingen. Her skal man huske på, at et samtykke kun bør anvendes, hvis der ikke findes andre lovlige behandlingsgrundlag. Desuden skal et samtykke opfylde en række faste kriterier for at være gyldigt. Læs mere om det i afsnittet “Samtykke“.

Nødvendig for at overholde en retlig forpligtelse

I visse tilfælde er man som dataansvarlig underlagt lovgivning, hvor man skal leve op til arbejds-, sundheds- eller socialretlige forpligtelser.

I disse tilfælde kan man behandle følsomme personoplysninger, for at overholde sine forpligtelser.

Det kan for eksempel være, hvis man som arbejdsgiver er forpligtet til at registrere helbredsoplysninger (som følge af andre regler) om en medarbejder. I forbindelse med arbejdsret skal man også være opmærksom på reglerne i den danske databeskyttelseslov.

Nødvendig for at beskytte vitale interesser

I særlige tilfælde kan man behandle personoplysninger lovligt, hvis det sker for at beskytte den registreredes helbred.

Det kan for eksempel være i akutte tilfælde, hvor den registrerede er syg eller tilskadekommen og i øvrigt ikke er i stand til at afgive sit samtykke.

Behandlingen foretages af visse organisationer

Organisationer af politisk, filosofisk, religiøs eller fagforeningsmæssig art kan behandle nødvendige følsomme oplysninger om deres medlemmer. Det er bl.a. en forudsætning, at organisationen ikke drives med gevinst for øje.

For eksempel kan en fagforening registrere oplysninger om sine medlemmers fagforeningsmæssige tilhørsforhold – og et politisk parti kan registrere sine medlemmer og dermed deres politiske overbevisning.

Oplysningerne er allerede offentliggjort af den registrerede

Det er tilladt at behandle følsomme personoplysninger om en person, som allerede selv har offentliggjort oplysningerne.

Det betyder derfor også, at denne regel ikke gælder, hvis det er andre, der har offentliggjort oplysningerne.

Man kan derfor eksempelvis lovligt behandle oplysninger om en politikers politiske overbevisning.

Nødvendig for at fastlægge retskrav

I visse tilfælde kan man have behov for at behandle følsomme oplysninger, fordi der er behov for at gøre retskrav gældende.

Det kan for eksempel dreje sig om et forsikringsselskab, der skal vurdere en persons invaliditetsgrad i forbindelse med forsikringsudbetaling.

Nødvendig af hensyn til en væsentlig samfundsinteresse

Når en samfundsinteresse er baseret på lovgivning fra EU eller Danmark, kan man behandle nødvendige følsomme oplysninger for at forfølge denne interesse.

Det kan for eksempel dreje sig om en privat rådgivningsorganisation, som rådgiver kriseramte børn og unge, der har oplevet alvorlig sygdom i familien. Her kan det være lovligt at behandle oplysningen om familiemedlemmets helbred på baggrund af denne betingelse.

Nødvendig af hensyn til patientbehandling

Denne betingelse drejer sig overvejende om patientbehandling på sundhedsområdet, og sådanne behandlinger reguleres yderligere i den danske databeskyttelseslov.

Det er desuden en betingelse, at behandlingen foretages af en fagperson på sundhedsområdet, som er underlagt tavshedspligt.

Nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet

Her kan man i visse tilfælde behandle følsomme personoplysninger, når det sker for at varetage samfundets interesse – for eksempel i forbindelse med alvorlige sundhedsrisici på tværs af landegrænser.

Nødvendig af hensyn til formål med relation til arkiv, videnskab, historie og statistik

Det er lovligt at behandle følsomme oplysninger om personer, når det er nødvendigt for at opfylde eksempelvis arkivformål, der er i samfundets interesse.

Også her skal man kigge nærmere på den danske databeskyttelseslovs regulering af bl.a. forskning og statistik.

Behandlingsgrundlag for oplysninger om strafbare forhold

Oplysninger om strafbare forhold omfatter ikke kun egentlige oplysninger om straffedomme og lovovertrædelser, men også selve den begrundede mistanke (men ikke ubegrundede beskyldninger). Vær derfor opmærksom på, at begrebet “strafbare forhold” er relativt bredt – det omfatter eksempelvis også frakendelse af rettigheder. Dog anses en “ren” straffeattest eller børneattest ikke som en oplysning om strafbare forhold – intet kriminelt er begået, og der er ingen mistanke om det heller.

Behandlingsgrundlag for personoplysninger om strafbare forhold finder man i den danske databeskyttelseslov.

 

Som offentlig forvaltning

Den offentlige forvaltning kan behandle oplysninger om strafbare forhold, hvis det er nødvendigt for at varetage myndighedsopgaver.

Når behandlingen drejer sig om eksempelvis efterforskning af straffesager, er myndigheden (for eksempel politiet) underlagt retshåndhævelsesloven.

I andre tilfælde kan den offentlige myndighed kun behandle oplysninger om strafbare forhold, hvis det er nødvendigt for, at myndigheden kan udføre sine opgaver. Det vil for eksempel være en kommunes opgaver i relation til exitprogrammer for tidligere bandemedlemmer.

Der er desuden betingelser for, hvornår oplysningerne kan videregives.

Som privat virksomhed

Som privat virksomhed kan man behandle oplysninger om strafbare forhold, hvis man har indhentet gyldigt samtykke til det fra den registrerede. Husk på, at der er specifikke krav til udformningen af et samtykke – læs mere i afsnittet om “Samtykke“.

Derudover kan man som privat virksomhed behandle oplysninger om strafbare forhold uden samtykke, hvis man har en berettiget interesse i det, som overstiger hensynet til den registrerede.

For eksempel kan et privat krisecenter behandle oplysninger om en persons voldelige familiemedlem, uden at hente samtykke fra den pågældende.

Også her er der særlige betingelser for, hvornår man kan videregive oplysningerne.

Behandlingsgrundlag for oplysninger om CPR-nummer

Behandling af oplysninger om CPR-nummer er reguleret af den danske databeskyttelseslov.

Som offentlig myndighed

Offentlig myndigheder kan behandle CPR-nummer, når det sker for at identificere personen eller som journalnummer.

Som privat virksomhed

CPR-nummer kan behandles af private i følgende tilfælde:

  • Det følger af lovgivningen – for eksempel når det er påkrævet at indberette medarbejderoplysninger til SKAT. Området er desuden reguleret i CPR-loven, skatteindberetningsloven m.fl.

  • Man har indhentet gyldigt samtykke til det – læs mere i afsnittet om Samtykke“.

  • Behandlingen alene omhandler videnskabelige eller statistiske formål m.v.

Opmærksomhedspunkter

Ovenstående drejer sig primært om de betingelser, som er angivet i databeskyttelsesforordningen (GDPR). I GDPR er der rum til, at de enkelte lande i EU kan lovgive mere specifikt om visse emner.

I Danmark har man gjort det gennem databeskyttelsesloven. Her finder du nærmere regler for behandling af personoplysninger i forbindelse med ansættelsesforhold, kreditoplysningsbureauer, markedsføringsforhold m.m.

​Hvor kan du læse mere

Du kan læse mere om behandlingsgrundlag på Datatilsynets hjemmeside.