Hjemmel: 6 måder at sikre at databehandlingen er lovlig

Hjemmel er et forholds berettigelse eller gyldighed på grundlag af love, forordninger eller lignende. Udgangspunktet er, at man ikke må behandle personoplysninger. Det må man så godt, hvis man kan finde hjemmel. Hjemmel er altså, når man finder gyldighed for sin behandling af personoplysninger i lovgivningen.

Når man skal lede efter gyldighed for sine behandlinger af personoplysninger, kan dette ske i persondataforordningen eller i databeskyttelsesloven. Sidstnævnte præciserer de forhold i persondataforordningen, som forordningen åbner op for at de danske lovgivere kan fastsætte nationalt. Foruden databeskyttelsesloven er der også særlove, som gælder forskellige afgrænsede områder – f.eks. sundhedsloven og TV-overvågningsloven.

Hjemmel kan findes i persondataforordningen eller databeskyttelsesloven.

Hjemmel til behandling af almindelige personoplysninger findes i persondataforordningen artikel 6.

Hjemmel til behandling af følsomme personoplysninger findes i persondataforordningen artikel 9.

For de almindelige personoplysninger er der seks måder at sikre, at behandlingen er lovlig, herunder samtykke, kontrakt og interesseafvejning, jf. persondataforordningens artikel 6.

Samtykke

Man beder den registrerede pænt om lov til at behandle personoplysningerne. Man skal huske at dokumentere, at man har fået lov. Der er særlige betingelser for at samtykke er lovligt, som man kan læse mere om under definitionerne.

Opfyldelse af en kontrakt

F.eks. hvis to parter indgår en kontrakt med hinanden om at levere en service og for at dette skal kunne lade sig gøre skal den registrerede lade sin mailadresse behandle.

Overholde en retlig forpligtelse

F.eks. skal man videregive oplysninger om lønindkomst til skat i medfør af skattelovgivningen.

Vitale interesser

F.eks. hvis den registrerede er kørt ned af en bus og ikke er ved bevidsthed.

Samfundets interesse eller offentlig myndighedsudøvelse

F.eks. offentlige myndigheder, som laver sagsbehandling i medfør af lovgivning.

Interesse-afvejning

I dette tilfælde skal den dataansvarlige demonstrere at hans interesse i at behandle personoplysningerne overstiger den registreredes interesse i at de ikke behandles. Hvis der skal sendes en pakke fra den dataansvarlige til den registrerede kan den dataansvarlige videregive oplysninger om navn og adresse til den registrerede selv om dette ikke fremgår af kontrakten mellem parterne.

For de følsomme personoplysninger skal hjemmelen findes i artikel 9.

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin