- Af Emil Galletta Rene, advokatfuldmægtig
GDPR og hjemmel: Sådan sikrer du det lovlige grundlag til behandling af personoplysninger
- september 27, 2024
Det er altafgørende, at du har styr på det lovlige grundlag – også kaldet hjemmel – når du behandler personoplysninger. Den korrekte hjemmel afhænger af den enkelte behandling.
Vi hjælper dig med at navigere selvsikkert i hjemmelskrav, da vi giver dig svarene på:
Hvad er hjemmel?
Hjemmel er det juridiske grundlag, der tillader, at du må behandle (og eventuelt videregive) personoplysninger.
Der skal altså være en gyldig hjemmel til behandlingen, for at du og din organisation (og eventuelt din leverandør) behandler personoplysninger på lovlig vis.
I GDPR er der tre forskellige typer af personoplysninger: Almindelige personoplysninger, følsomme personoplysninger og fortrolige personoplysninger.
Vi gør dig klogere på alle tre typer herunder.
Din hjemmel til behandling af almindelige personoplysninger
Du kan finde mulig hjemmel til behandling af almindelige personoplysninger, hvis du er nødt til at tage hensyn til minimum en af disse 6 forhold:
#1: Kontrakt
Behandlingen er nødvendig for opfyldelse af en kontrakt, som personen er part i.
#2: Juridiske forpligtelser
Behandlingen er nødvendig for at overholde en retlig forpligtelse.
#3: Vitale interesser
Behandlingen er nødvendig for at beskytte en persons liv eller helbred.
#4: Offentlige opgave
Behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller myndighedsudøvelse.
#5: Legitime interesser
Behandlingen er nødvendig for legitime interesser, medmindre personens grundlæggende rettigheder og friheder vejer tungere.
#6: Samtykke
Personen har givet klart og utvetydigt samtykke til et eller flere specifikke formål.
Din hjemmel til behandling af følsomme personoplysninger
Sammenlignet med almindelige personoplysninger er sværere at finde et lovligt grundlag for behanling af følsomme personoplysninger. For følsomme personoplysninger efter artikel 9 i GDPR dækker nemlig over:
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske eller biometriske data
- Helbredsoplysninger
- Oplysninger om seksuelle forhold eller seksuel orientering
Ved følsomme personoplysninger skal du både (1) have en hjemmel i artikel 6, stk. 1 og (2) benytte en undtagelse til det generelle forbud mod behandlingen (i artikel 9, stk. 2).
Undtagelsen finder du i artikel 9, stk. 2 og gælder, hvis du skal tage hensyn til minimum et af disse 10 forhold:
#1: Udtrykkeligt samtykke
Personen har givet udtrykkeligt samtykke til behandling af sine følsomme data til et eller flere specifikke formål.
#2: Arbejds-, sundheds- og socialretlige forpligtelser
Behandling er nødvendig for at overholde arbejdsretlige, socialretlige eller socialbeskyttelsesretlige forpligtelser. Det inkluderer forpligtelser i kollektive overenskomster.
#3: Vitale interesser
Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons liv og helbred, når den registrerede er ude af stand til at give samtykke.
#4: Ikke-økonomisk virksomhed
Behandling udføres af en ikke-erhvervsdrivende fond, forening eller anden nonprofitorganisation som led i dennes legitime aktiviteter.
#5: Offentliggjorte data
Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
#6: Retlige krav
Behandling er nødvendig, for at det er muligt at fastlægge, forsvare eller gøre retskrav gældende.
#7: Væsentlig offentlig interesse
Behandling er nødvendig af hensyn til væsentlige samfundsinteresser.
#8: Medicinske formål
Behandling er nødvendig for at kunne tage hensyn til samfundsinteresser på folkesundhedsområdet på baggrund af EU-retten eller national lov.
Undtagelsen gælder organisationer indenfor fx forebyggende medicin, medicinsk diagnostik, levering af sundheds- eller socialpleje eller behandling.
#9: Folkesundhed
Behandling er nødvendig af hensyn til folkesundhed. Det kan fx være beskyttelse mod alvorlige grænseoverskridende sundhedstrusler.
#10: Arkivering, forskning og statistik
Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU- eller medlemsstatslovgivning.
Vær også obs på, at der kan være yderligere betingelser i national lov for behandling af genetiske, biometriske eller helbredsoplysninger. Det er pt ikke tilfældet i Danmark.
Din hjemmel til behandling af fortrolige oplysninger
Der er visse typer af personoplysninger, som er underlagt særlige krav til hjemmel. De personoplysninger kender vi som fortrolige personoplysninger og står i GDPR, artikel 9, stk. 1.
Som udgangspunkt er det forbudt at behandle følsomme personoplysninger, medmindre du kan bruge en af undtagelserne i GDPR, artikel 9, stk. 2.
Fortrolige oplysninger er først og fremmest oplysninger om strafbare forhold. Fx at en person har en straffedom, parkeringsbøde eller lignende. Disse oplysninger må du kun behandle, hvis du:
- Som offentlig myndighed gør det for, at forvaltningen kan varetage sin opgave
- Som privat virksomhed 1) har sikret et udtrykkeligt samtykke fra den registrerede, eller 2) har en berettiget interesse, og denne klart overstiger hensynet til den registrerede.
Der er også særlige regler for hjemmel i forhold til personnumre (CPR-numre). Du må kun behandle CPR-numre, hvis du som:
- Offentlig myndighed har til formål at 1) identificere personer eller 2) bruge det som journalnummer.
- Privat organisation 1) er pålagt at gøre det via lovgivning, 2) har fået samtykke fra den registrerede eller 3) er nødt til det for at overholde en arbejdsretlig forpligtelse.
Hjemmel er et af mange GDPR-krav, du skal have styr på og overholde – også selvom du bruger en leverandør til at behandle personoplysninger.
Hvis du vil have hjælp til at leve op til de GDPR-krav, der knytter sig til din leverandørstyring, er du velkommen til at snuppe vores GDPR-guide nedenfor.
Den giver dig en komplet compliance-tjekliste, som du kan notere direkte i og derfor skræddersy til hver af dine leverandører.
Komplet guide og tjekliste til din leverandørstyring
Få en skræddersyet GDPR-tjekliste, som sikrer din compliance, når du implementerer, bruger og opsiger leverandører.
