Det retlige grundlag for personoplysninger

GDPR: Hvordan sikrer man et lovligt grundlag for behandling af personoplysninger?

Henning Mortensen

January 24, 2020

Som databehandler skal du sikre dig, at det retlige grundlag - i daglig tale kaldet hjemmel - er i orden, før du behandler personoplysninger. Her gennemgår vi, hvilke regler din behandling skal leve op til, og hvad du skal være opmærksom på ift. GDPR og øvrige gældende love i Danmark i henhold til den registreredes rettigheder.

Førend den dataansvarlige behandler personoplysninger, skal man vurdere lovligheden. Man skal derfor finde et retligt grundlag (hjemmel) for sine behandlinger. Desuden skal man sørge for, at alle de andre forhold i forordningen er opfyldt. I denne artikel vil vi se på, hvordan man sikrer sig et samlet lovligt grundlag for sine behandlinger.

Den lovlige behandling

Den lovlige behandling sikres ved at finde et retligt grundlag at behandle oplysningerne på. Udgangspunktet er, at der ikke må behandles personoplysninger med mindre et sådant retligt grundlag kan findes. For at behandle almindelige personoplysninger skal man kunne finde et retligt grundlag i artikel 6: samtykke, indgåelse eller opfyldelse af en kontrakt, retlig forpligtelse, vital interesse, udførelse af en opgave i samfundets interesse eller under offentlig myndighedsudøvelse eller interesseafvejning.

For følsomme oplysninger skal man fastslå, om en af undtagelsesbestemmelserne i artikel 9 gør sig gældende, hvorefter man for en række af undtagelserne skal finde retligt grundlag i artikel 6. Kan man ikke gøre brug af en af undtagelsesbestemmelserne i artikel 9, må man ikke behandle følsomme oplysninger.

Offentlige myndigheder må behandle oplysninger om strafbare forhold med hjemmel i artikel 10. Foruden forordningen finder der dog en national hjemmel til at behandle sådanne oplysninger i databeskyttelseslovens § 8. Det er heraf, at det følger, at private må behandle sådanne oplysninger med en skærpet interesseafvejning og i øvrigt i henhold til den praksis, der er fastlagt.

Behandling af oplysninger om CPR-nummer er der ligeledes særlige, nationale regler for i databeskyttelseslovens § 11 jf. forordningens artikel 87. Generelt er der i national lovgivning udnyttet muligheder for behandling i særlige situationer i forhold til aktindsigt, ansættelsesforhold, arkivformål eller historiske eller statistiske formål.

Det er imidlertid ikke alene gjort med at finde et retligt grundlag.

Principperne for at behandle personoplysninger

Foruden det retlige grundlag skal den dataansvarlige altid sikre sig, at de grundlæggende principper i artikel 5 er opfyldt. Den dataansvarlige skal dermed sikre, at

- Behandlingen er lovlig, rimelig og gennemsigtig.
- At behandlingen har et præcist afgrænset formål.
- At der ikke indsamles flere oplysninger end nødvendigt for at opfylde formålet.
- At de personoplysninger som behandles er korrekte.
- At personoplysningerne slettes, når der ikke længere er brug for dem.
- At der er implementeret sikkerhedsforanstaltninger svarende til risici, og at den dataansvarlige kan dokumentere ovenstående tiltag.

Iagttagelse af de registreredes rettigheder fra forordningens kapitel III

De registrerede har en række rettigheder.
Først og fremmest skal de oplyses om, at behandling finder sted. Herefter har de registrerede ret til indsigt i oplysninger og behandlinger m.v., og de har i en række situationer ret til at få oplysningerne berigtiget eller slettet. De kan få begrænset behandlingen, ligesom de under visse omstændigheder har ret til dataportabilitet. De registrerede kan også gøre indsigelse mod behandlingen, og de har under visse omstændigheder ret til ikke at blive profileret.

Der findes en række undtagelser, der betyder, at de registreredes rettigheder kan sættes ud af kraft. Men hvis ingen af disse undtagelser gør sig gældende, skal den dataansvarlige sikre sig, at de registrerede kan udleve deres ovenfor nævnte rettigheder.

Dataansvarlige og databehandleres generelle forpligtelser efter forordningens kapitel IV

Den dataansvarliges overordnede ansvar er præciseret i artikel 24, hvor det fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og kunne påvise, at behandlingen er i overensstemmelse med forordningen. Dette ansvar udmøntes gennem en række mere konkrete forpligtelser:

Først og fremmest skal der implementeres sikkerhedsforanstaltninger svarende til risici i henhold til artikel 32. Den dataansvarlige skal altså lave en risikovurdering set fra den registreredes perspektiv - og herefter mitigere denne risici gennem passende foranstaltninger.
Hvis behandlingen udgør en høj risiko for den registrerede skal der udarbejdes en konsekvensanalyse af behandlingen jf. artikel 35. Hvis der sker brud på persondatasikkerheden, skal der foretages anmeldelse jf. artiklerne 33 og 34. Læs 10 gode råd til at håndtere databrud her.

Den dataansvarlige skal også ,i henhold til artikel 25, designe sin løsning og understøtte løsningen med foranstaltninger, så løsningen altid respekterer de fundamentale principper i artikel 5.
Videre skal den dataansvarlige styre sine underleverandører / databehandlere i henhold til de krav, der anføres i artikel 28. Dette skal bl.a. ske ved at indgå databehandleraftaler med databehandlerne og kontrollere, at aftalerne efterleves i praksis.

Yderligere skal der jf. artikel 30 udarbejdes en fortegnelse over behandlingsaktiviteter, hvor den dataansvarlige kan demonstrere bl.a. formål med behandlingen, kategorier af registrerede, kategorier af personoplysninger, beskrive hvem personoplysningerne evt. videregives til, beskrive om der evt. sker overførsel til tredjelande. En sådan fortegnelse kan trækkes direkte, hvis man har gennemført sin kortlægning i Wired Relations.

Endelig skal en række dataansvarlige jf. artiklerne 37-39 udpege databeskyttelsesrådgivere.

Overførsel til tredjelande jf. forordningens artikel V

Den dataansvarlige skal sikre sig, at der foreligger et retligt grundlag, hvis der skal ske overførsel af personoplysninger til tredjelande. Kommissionen har godkendt en række lande, som er sikre at anvende som tredjelande. Til disse lande kan overførsel umiddelbart ske. Alternativt kan overførsel ske, hvis en række ”fornødne garatier” er på plads. Det kan f.eks. ske gennem bindende virksomhedsregler eller EU Kommissionens standardkontrakter.

Konklusion

Der er, som ovenstående viser, ganske meget, der skal være opfyldt, før man kan gå i gang med at behandle personoplysninger. Den typiske proces kan opsummeres som en lille tjekliste:

Hvad er det for et formål, vi gerne vil opfylde, når vi ønsker at behandle personoplysninger?
I nær tilknytning hertil bør man også vurdere, om man kan opfylde formålet uden at behandle personoplysninger, og hvilke personoplysninger der er nødvendige for formålet.
På hvilket grundlag kan vi behandle disse personoplysninger?
Her er det vigtigt at have en liste over de personoplysninger, som skal behandles, så man kan tage stilling til, om de er almindelige, følsomme, eller om strafbare forhold. Det er nemlig afgørende for, om man skal finde sit retlige grundlag i artikel 6, 9, 10 eller i national lovgivning.
Herefter skal man sikre sig, at man opfylder alle de andre persondataretlige krav – herunder bl.a. at der ikke indsamles mere, end der er brug for til formålet, at vi sletter oplysningerne, når formålet er opfyldt, at oplysningerne ikke efterfølgende bruges til ulovlige formål, at oplysningerne ikke videregiver til uvedkommende, at de registrerede ved at oplysningerne behandles og kan udøve sine rettigheder, at der er god sikkerhed om oplysningerne, at der er styr på it-serviceproviderne og deres behandling, at oplysningerne ikke overføres til tredjelande uden retligt grundlag m.v.