Det er altafgørende, at du har styr på det lovlige grundlag – også kaldet hjemmel – når du behandler personoplysninger. Den korrekte hjemmel afhænger af den enkelte behandling.

‍Vi hjælper dig med at navigere selvsikkert i hjemmelskrav, da vi giver dig svarene på:

• Hvad er hjemmel?
• Hvilken hjemmel kan jeg bruge til behandling af almindelige personoplysninger?
• Hvilken hjemmel kan jeg bruge til behandling af følsomme personoplysninger?
• Hvilken hjemmel kan jeg bruge til behandling af fortrolige personoplysninger?

Hvad er hjemmel?

Hjemmel er det juridiske grundlag, der tillader, at du må behandle (og eventuelt videregive) personoplysninger.

Der skal altså være en gyldig hjemmel til behandlingen, for at du og din organisation (og eventuelt din leverandør) behandler personoplysninger på lovlig vis.

‍

I GDPR er der tre forskellige typer af personoplysninger: Almindelige personoplysninger, følsomme personoplysninger og fortrolige personoplysninger.

Vi gør dig klogere på alle tre typer herunder.

Din hjemmel til behandling af almindelige personoplysninger

Du kan finde mulig hjemmel til behandling af almindelige personoplysninger, hvis du er nødt til at tage hensyn til minimum en af disse 6 forhold:

#1: Kontrakt

Behandlingen er nødvendig for opfyldelse af en kontrakt, som personen er part i.

#2: Juridiske forpligtelser

Behandlingen er nødvendig for at overholde en retlig forpligtelse.

#3: Vitale interesser

Behandlingen er nødvendig for at beskytte en persons liv eller helbred.
‍

#4: Offentlige opgave

Behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller myndighedsudøvelse.

#5: Legitime interesser

Behandlingen er nødvendig for legitime interesser, medmindre personens grundlæggende rettigheder og friheder vejer tungere.

#6: Samtykke

Personen har givet klart og utvetydigt samtykke til et eller flere specifikke formål.

Din hjemmel til behandling af følsomme personoplysninger

Sammenlignet med almindelige personoplysninger er sværere at finde et lovligt grundlag for behanling af følsomme personoplysninger. For følsomme personoplysninger efter artikel 9 i GDPR dækker nemlig over:

• Race eller etnisk oprindelse
• Politisk, religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske eller biometriske data
• Helbredsoplysninger
• Oplysninger om seksuelle forhold eller seksuel orientering
  ‍

Ved følsomme personoplysninger skal du både (1) have en hjemmel i artikel 6, stk. 1 og (2) benytte en undtagelse til det generelle forbud mod behandlingen (i artikel 9, stk. 2).

Undtagelsen finder du i artikel 9, stk. 2 og gælder, hvis du skal tage hensyn til minimum et af disse 10 forhold:

#1: Udtrykkeligt samtykke

Personen har givet udtrykkeligt samtykke til behandling af sine følsomme data til et eller flere specifikke formål.

#2: Arbejds-, sundheds- og socialretlige forpligtelser

Behandling er nødvendig for at overholde arbejdsretlige, socialretlige eller socialbeskyttelsesretlige forpligtelser. Det inkluderer forpligtelser i kollektive overenskomster.

#3: Vitale interesser

Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons liv og helbred, når den registrerede er ude af stand til at give samtykke.

#4: Ikke-økonomisk virksomhed

Behandling udføres af en ikke-erhvervsdrivende fond, forening eller anden nonprofitorganisation som led i dennes legitime aktiviteter.

#5: Offentliggjorte data

Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.

#6: Retlige krav

Behandling er nødvendig, for at det er muligt at fastlægge, forsvare eller gøre retskrav gældende.

#7: Væsentlig offentlig interesse

Behandling er nødvendig af hensyn til væsentlige samfundsinteresser.

#8: Medicinske formål

Behandling er nødvendig for at kunne tage hensyn til samfundsinteresser på folkesundhedsområdet på baggrund af EU-retten eller national lov.

Undtagelsen gælder organisationer indenfor fx forebyggende medicin, medicinsk diagnostik, levering af sundheds- eller socialpleje eller behandling.

#9: Folkesundhed

Behandling er nødvendig af hensyn til folkesundhed. Det kan fx være beskyttelse mod alvorlige grænseoverskridende sundhedstrusler.

#10: Arkivering, forskning og statistik

Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU- eller medlemsstatslovgivning.

‍Vær også obs på, at der kan være yderligere betingelser i national lov for behandling af genetiske, biometriske eller helbredsoplysninger. Det er pt ikke tilfældet i Danmark.

Din hjemmel til behandling af fortrolige oplysninger

Der er visse typer af personoplysninger, som er underlagt særlige krav til hjemmel. De personoplysninger kender vi som fortrolige personoplysninger og står i GDPR, artikel 9, stk. 1.

Som udgangspunkt er det forbudt at behandle følsomme personoplysninger, medmindre du kan bruge en af undtagelserne i GDPR, artikel 9, stk. 2.

Fortrolige oplysninger er først og fremmest oplysninger om strafbare forhold. Fx at en person har en straffedom, parkeringsbøde eller lignende. Disse oplysninger må du kun behandle, hvis du:

• Som offentlig myndighed gør det for, at forvaltningen kan varetage sin opgave
• Som privat virksomhed 1) har sikret et udtrykkeligt samtykke fra den registrerede, eller 2) har en berettiget interesse, og denne klart overstiger hensynet til den registrerede.

Der er også særlige regler for hjemmel i forhold til personnumre (CPR-numre). Du må kun behandle CPR-numre, hvis du som:

• Offentlig myndighed har til formål at 1) identificere personer eller 2) bruge det som journalnummer.
• Privat organisation 1) er pålagt at gøre det via lovgivning, 2) har fået samtykke fra den registrerede eller 3) er nødt til det for at overholde en arbejdsretlig forpligtelse.
  ‍

Hjemmel er et af mange GDPR-krav, du skal have styr på og overholde – også selvom du bruger en leverandør til at behandle personoplysninger.

Hvis du vil have hjælp til at leve op til de GDPR-krav, der knytter sig til din leverandørstyring, er du velkommen til at snuppe vores GDPR-guide nedenfor.

‍Den giver dig en komplet compliance-tjekliste, som du kan notere direkte i og derfor skræddersy til hver af dine leverandører.