Vurder lovligheden

Vurder lovligheden

Førend den dataansvarlige behandler personoplysninger skal man vurdere lovligheden. Man skal derfor finde et retligt grundlag for sine behandlinger. Desuden skal man sørge for at alle de andre forhold i forordningen er opfyldt. I denne artikel vil vi se på, hvordan man sikrer sig et samlet lovligt grundlag for sine behandlinger. 

Den lovlige behandling

Den lovlige behandling sikres ved at finde et retligt grundlag at behandle oplysningerne på. Udgangspunktet er, at der ikke må behandles personoplysninger med mindre et sådant retligt grundlag kan findes. For at behandle almindelige personoplysninger skal man kunne finde et retligt grundlag i artikel 6: samtykke, indgåelse eller opfyldelse af en kontrakt, retlig forpligtelse, vital interesse, udførelse af en opgave i samfundets interesse eller under offentlig myndighedsudøvelse eller interesseafvejning.

For følsomme oplysninger skal man fastslå, om en af undtagelsesbestemmelserne i artikel 9 gør sig gældende, hvorefter man for en række af undtagelserne skal finde retligt grundlag i artikel 6. Kan man ikke gøre brug af en af undtagelsesbestemmelserne i artikel 9, må man ikke behandle følsomme oplysninger.

Offentlige myndigheder må behandle oplysninger om strafbare forhold med hjemmel i artikel 10. Foruden forordningen finder der dog en national hjemmel til at behandle sådanne oplysninger i databeskyttelseslovens § 8. Det er heraf, at det følger, at private må behandle sådanne oplysninger med en skærpet interesseafvejning og i øvrigt i henhold til den praksis, der er fastlagt.

Behandling af oplysninger om CPR-nummer er der ligeledes særlige nationale regler for i databeskyttelseslovens § 11 jf. forordningens artikel 87. Generelt er der i national lovgivning udnyttet muligheder for behandling i særlige situationer i forhold til aktindsigt, ansættelsesforhold, arkivformål eller historiske eller statistiske formål.

Det er imidlertid ikke alene gjort med at finde et retligt grundlag.

Principperne

Foruden det retlige grundlag skal den dataansvarlige altid sikre sig, at de grundlæggende principper i artikel 5 er opfyldt. Den dataansvarlige skal dermed sikre, at behandlingen er lovlig, rimelig og gennemsigtig, at behandlingen har et præcist afgrænset formål, at der ikke indsamles flere oplysninger end nødvendigt for at opfylde formålet, at de personoplysninger som behandles er korrekte, at personoplysningerne slettes, når der ikke længere er brug for dem, at der er implementeret sikkerhedsforanstaltninger svarende til risici, og at den dataansvarlige kan dokumentere ovenstående tiltag.

Iagttagelse af de registreredes rettigheder fra forordningens kapitel III

De registrerede har en række rettigheder. Først og fremmest skal de oplyses om, at behandling finder sted. Herefter har de registrerede ret til indsigt i oplysninger og behandlinger m.v., de har i en række situationer ret til at få oplysningerne berigtiget eller slettet, de kan få begrænset behandlingen, de har under visse omstændigheder ret til dataportabilitet, de kan gøre indsigelse mod behandlingen, og de har under visse omstændigheder ret til ikke at blive profileret.

Der findes en række undtagelser, der betyder, at de registreredes rettigheder kan sættes ud af kraft. Men hvis ingen af disse undtagelser gør sig gældende, skal den dataansvarlige sikre sig, at de registrerede kan udleve deres rettigheder.

Dataansvarlige og databehandler generelle forpligtelser efter forordningens kapitel IV

Den dataansvarliges overordnede ansvar er præciseret i artikel 24, hvoraf det fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen er i overensstemmelse med forordningen. Dette ansvar udmøntes gennem en række mere konkrete forpligtelser.

Først og fremmest skal der implementeres sikkerhedsforanstaltninger svarende til risici i henhold til artikel 32. Den dataansvarlige skal altså lave en risikovurdering set fra den registreredes perspektiv og herefter mitigere denne risici passende gennem foranstaltninger. Der skal, hvis behandlingen udgør en høj risiko for den registrerede foretages konsekvensanalyse af behandlingen jf. artikel 35. Hvis der sker brud på persondatasikkerheden, skal der foretages anmeldelse jf. artiklerne 33 og 34.

Den dataansvarlige skal også i henhold til artikel 25 designe sin løsning og understøtte løsningen med foranstaltninger, således at løsningen altid respekterer de fundamentale principper i artikel 5.
Videre skal den dataansvarlige styre sine underleverandører / databehandlere i henhold til de krav der anføres i artikel 28. Dette skal bl.a. ske ved at indgå databehandleraftaler med databehandlerne og kontrollere at disse efterleves i praksis.

Yderligere skal der jf. artikel 30 tilvejebringes en fortegnelse over behandlingsaktiviteter, hvor den dataansvarlige kan demonstrere bl.a. formål med behandlingen, kategorier af registrerede, kategorier af personoplysninger, beskrive hvem personoplysningerne evt. videregives til, beskrive om der evt. sker overførsel til tredjelande. En sådan fortegnelse kan trækkes direkte, hvis man har gennemført sin kortlægning i Wired Relations.

Endelig skal en række dataansvarlige jf. artiklerne 37-39 udpege databeskyttelsesrådgivere.

Overførsel til tredjelande jf. forordningens artikel V

Den dataansvarlige skal sikre sig, at der foreligger et retligt grundlag, hvis der skal ske overførsel af personoplysninger til tredjelande. Kommissionen har godkendt en række lande, som sikre tredjelande. Til disse kan overførsel umiddelbart ske. Alternativt kan overførsel ske, hvis en række ”fornødne garatier” er på plads. Det kan f.eks. ske gennem bindende virksomhedsregler, EU Kommissionens standardkontrakter eller Privacy Shield. 

Konklusion

Der er, som ovenstående viser, ganske meget, der skal være opfyldt, førend man kan gå i gang med at behandle personoplysninger. Den typiske proces kan opsummeres som en lille tjekliste:

  • Hvad er det for et formål, vi gerne vil opfylde, når vi ønsker at behandle personoplysninger?
    I nær tilknytning hertil bør man også vurdere, om man kan opfylde formålet uden at behandle personoplysninger, og hvilke personoplysninger der er nødvendige for formålet.
  • På hvilket grundlag kan vi behandle disse personoplysninger?
    Her er det vigtigt at have en liste over de personoplysninger, som skal behandles, så man kan tage stilling til, om de er almindelige, følsomme, eller om strafbare forhold. Det er nemlig afgørende for, om man skal finde sit retlige grundlag i artikel 6, 9, 10 eller i national lovgivning.
  • Herefter skal man sikre sig, at man opfylder alle de andre persondataretlige krav – herunder bl.a. at der ikke indsamles mere end der er brug for henset til formålet, at vi sletter oplysningerne, når formålet er opfyldt, at oplysningerne ikke efterfølgende bruges til ulovlige formål, at oplysningerne ikke videregiver til uvedkommende, at de registrerede ved at oplysningerne behandles og kan udøve sine rettigheder, at der er god sikkerhed om oplysningerne, at der er styr på it-serviceproviderne og deres behandling, at oplysningerne ikke overføres til tredjelande uden retligt grundlag m.v.

Links

Andre relaterede artikler på Wired Relations:

7 principper for behandling af personoplysninger

Hjemmel: 6 måder at sikre at databehandlingen er lovlig

Den dataansvarlige har pligt til at sikre de registreredes rettigheder

Aftaler med leverandører ved behandling af personoplysninger

Hvad er passende sikkerhedsforanstaltninger egentlig?

Hvad er passende organisatoriske sikkerhedsforanstaltninger?

Hvad er passende tekniske sikkerhedsforanstaltninger?

Hvad er databeskyttelse gennem design?

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin