Datatilsynet ændrer opfattelse i forhold til behandling af følsomme oplysninger

Datatilsynet har for nylig ændret opfattelse i forhold til kravene til behandlingsgrundlaget i forbindelse med behandling af følsomme oplysninger.

nvi_portraetter_done_045_web.jpg

Når man behandler følsomme oplysninger oplistet i databeskyttelsesforordningens artikel 9, stk. 1 (herunder eksempelvis helbredsoplysninger og oplysninger om fagforeningsmæssige tilhørsforhold), er det en betingelse, at behandlingen er omfattet af enten en af undtagelserne til forbuddet i forordningens artikel 9, stk. 2, eller en bestemmelse i databeskyttelsesloven, som gennemfører forordningens artikel 9. Herudover skal behandlingen være i overensstemmelse med de generelle principper i forordningens artikel 5.

Det har hidtil været Datatilsynets opfattelse, at når disse to betingelser har været opfyldt, har behandlingen af følsomme oplysninger været lovlig. Datatilsynet har dog for nylig tilkendegivet, at denne opfattelse er ændret, og at der fremover også skal være et lovligt grundlag for behandlingen i forordningens artikel 6.

Databeskyttelsesforordningens artikel 6 oplister de situationer, hvor der lovligt kan ske behandling af persondata. Hidtil har det været Datatilsynets opfattelse, at denne bestemmelse alene fandt anvendelse ved behandling af almindelige oplysninger. Når man behandlede følsomme oplysninger, behøvede man altså ikke tillige at henvise til artikel 6. Efter Datatilsynets ændrede opfattelse skal artikel 6 nu anvendes ved alle former for behandling af personoplysninger – og så gælder der ved siden af et ekstra hjemmelskrav i forhold til de følsomme oplysninger.

Datatilsynet tilkendegiver dog, at der sædvanligvis vil være et lovligt behandlingsgrundlag efter artikel 6, når behandlingen er omfattet af en af bestemmelserne i artikel 9, stk. 2. Dette skyldes det høje beskyttelsesniveau, der følger af situationerne omfattet af artikel 9, stk. 2. Derfor er der tale om en ændring, som vil få mindre praktisk betydning i forhold til selve lovligheden af behandlingen.

De situationer, hvor Datatilsynets ændrede opfattelse medfører ændringer, er eksempelvis den registreredes mulighed for at få indsigt i behandling af oplysninger omfattet af artikel 9, stk. 2. Dette skyldes, at retten til indsigelse udelukkende omfatter behandling af personoplysninger baseret på artikel 6, stk. 1, litra e og f. Herudover vil ændringen kunne medføre, at der skal foretages ændringer i persondatapolitikker, fortegnelser osv., hvortil Datatilsynet dog bemærker, at det ikke forventes, at ændringerne sker omgående, men løbende i forbindelse med ajourføring/justering af dokumenterne.

Datatilsynets meddelelse om den ændrede opfattelse kan læses her.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet