Databeskyttelsesforordningen

Databeskyttelsesforordningen trådte i kraft i 2018 og afløste det tidligere databeskyttelsesdirektiv. En forordning er umiddelbart gældende i medlemsstaterne, hvilket betyder, at medlemsstaterne hverken kan eller skal implementere reglerne nationalt. Formålet med forordningen var en øget harmonisering af medlemsstaternes regler på området for databeskyttelse.

Forordningen indeholder dog hjemmel til, at medlemsstaterne på visse områder kan indføre supplerende regler. I Danmark trådte databeskyttelsesloven i kraft samtidig med databeskyttelsesforordningen. Loven indeholder flere supplerende regler til forordningen.

Rettigheds- og pligtsubjekter

Der sondres mellem tre typer af subjekter i forordningen. Disse er ”den registrerede”, ”den dataansvarlige”, samt ”databehandleren”. Den registrerede er den fysiske person, hvis personoplysninger bliver behandlet.

Den dataansvarlige er den hovedansvarlige for databehandlingen, og det er denne person eller myndighed, der fastlægger formålet med samt metoderne for databehandlingen, jf. art. 4, nr. 7. Databehandleren er den person, som den dataansvarlige har uddelegeret databehandlingen til, jf. art. 4, nr. 8. Databehandleren fastlægger derved ikke formål samt metoder for databehandlingen, men følger den dataansvarliges instrukser.

Forordningens materielle anvendelsesområde

Forordningen regulerer adgangen til at ”behandle personoplysninger” ved automatisk databehandling eller manuel behandling, der foretages via et register, jf. forordningens art. 2. Enhver digital behandling af personoplysninger skal anses for værende en ”automatisk behandling”, og er derfor omfattet af forordningen.

Ved personoplysninger forstås enhver oplysning om en specifik identificeret eller identificerbar fysisk person. Dette følger af forordningens artikel 4, nr. 1.
En person anses for ”identificeret”, hvis oplysningerne kan kobles direkte til vedkommende. Ved en ”identificerbar” person er det nødvendigt at sammenholde de omhandlede oplysninger med andre oplysninger om personen, før denne kan identificeres.

Begrebet ”behandling” er beskrevet i forordningens artikel 4, nr. 2. Det omfatter enhver aktivitet, der relaterer sig til personoplysninger. Begrebet skal fortolkes meget bredt og omfatter f.eks. indsamling, opbevaring, brug, videregivelse mv.

I art. 2, nr. 2 oplistes visse typer af behandlinger, der ikke er omfattet af forordningen. Disse er bl.a. rent private behandlinger samt behandlinger i forbindelse med aktiviteter, der falder uden for EU-retten.

Forordningens territoriale anvendelsesområde

Forordningen finder anvendelse på dataansvarlige eller databehandlere, der er etableret i EU. Dette gælder, uanset om selve databehandlingen foretages uden for EU. Eksempelvis vil en dansk virksomhed, som databehandler personoplysninger på computere i Kina, være omfattet af forordningen.

Grundlæggende behandlingsprincipper

Art. 5, nr. 1 i forordningen oplister seks grundlæggende principper til databehandlingen. Principperne udgør ikke et selvstændigt behandlingsgrundlag, men skal iagttages ved hver behandling.

De seks principper er:

• Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde. Princippet indebærer bl.a., at det skal fremgå klart, tydeligt og på et let tilgængeligt sprog, at der foretages en databehandling af personoplysninger.
   
• Oplysningerne skal indsamles til udtrykkeligt angivne og legitime formål, og de må ikke anvendes til at andre uforenelige formål. Formålet skal derfor være specifikt angivet og det må ikke være ulovligt eller usagligt.
   
• Oplysningerne må endvidere ikke anvendes til helt andre formål end det oprindelige, som legitimerede behandlingen. Ved vurderingen af, om et andet formål er foreneligt eller uforeneligt med det oprindelige, skal bl.a. kriterierne i art. 6, stk. 4 inddrages.
   
• Oplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige. Princippet indebærer, at der på den ene side skal indhentes tilstrækkeligt med oplysninger til, at der træffes en materiel korrekt afgørelse. På den anden side må der ikke indhentes oplysninger, som ikke er nødvendige til at opnå formålet. Sidstnævnte begrænsning kaldes også ”dataminimering”.
   
• Oplysningerne skal være objektivt korrekte. Den dataansvarlige og databehandleren er ansvarlige for at berigtige oplysninger, både af eget initiativ og ved henvendelse.
   
• Oplysninger må ikke opbevares i længere tid end hvad der er nødvendigt ift. behandlingen. Derefter skal oplysningerne slettes eller anonymiseres
   
• Behandlingen skal være sikkerhedsmæssig forsvarlig, således at oplysningerne ikke risikerer at blive genstand for ulovlig behandling, tab, tilintetgørelse eller beskadigelse.

Krav om behandlingsgrundlag

For at en databehandling er lovlig, skal denne have et lovligt behandlingsgrundlag. Konkret betyder dette, at behandlingen skal opfylde mindst et af de oplistede kriterier i art. 6, nr. 1. En behandling er lovlig efter art. 6 i følgende situationer:

• Der er indhentet samtykke fra den registrerede. Samtykket kan altid trækkes tilbage jf. art. 7, stk.
   
• Behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er en del af. Eksempelvis hvis en virksomhed skal sende en vare til en køber, skal virksomheden bruge kundens navn og adresse. Her behøves kundens samtykke ikke, da behandlingen er nødvendig for at overholde købsaftalen.
   
• Behandlingen følger af en retlig forpligtelse, som den dataansvarlige eller databehandleren er underlagt. Hovedparten af myndighedsudøvelse er omfattet af denne bestemmelse, da myndighedsudøvelsen er lovhjemlet og dermed er en retlig forpligtelse.
   
• Behandlingen er nødvendig for at sikre den registreredes eller en anden fysisk persons vitale interesser. Bestemmelsen finder anvendelse, når den registrerede eller en anden fysisk person ikke er i stand til selv at varetage deres interesser, f.eks. som følge af sygdom, rejse mv. Det er kun en ved væsentlig skade, at den registreredes ”vitale interesser” er påvirket.
   
• Behandlingen er nødvendig i udførelsen af en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse. Bestemmelsen giver hjemmel til størstedelen af den behandling, offentlige myndigheder foretager, da denne behandling sker som led i myndighedsudøvelse.
   
• Behandlingen er nødvendig for at varetage en legitim interesse, medmindre hensynet til den registrerede og dennes frihedsrettigheder overstiger den legitime interesse. Reglen er en afvejningsregel, og finder anvendelse, når der foreligger en legitim interesse, der ikke falder ind under de øvrige, lovlige behandlinger i bestemmelsen.

Særligt følsomme oplysninger

Visse typer af oplysninger kategoriseres som særligt følsomme. Disse er bl.a. oplysninger om race eller etnisk oprindelse, seksualitet, politisk eller religiøs overbevisning, helbredsoplysninger mv. Hovedreglen er, efter art. 9, nr. 1, at det er ulovligt at behandle disse typer af oplysninger.

Behandlingen af disse typer af oplysninger kan dog være lovlig, hvis behandlingen er omfattet af en af undtagelserne i art. 9, stk. 2. Undtagelserne omfatter bl.a. de tilfælde, hvor den registrerede har givet sit samtykke til behandlingen eller hvor oplysningerne er blevet offentliggjort af den registrerede.

Datatilsynet har meddelt, at en behandling af særligt følsomme oplysninger både skal opfylde kravene i art. 9, stk. 2 og art. 6, stk. 1. En behandling, der opfylder kravene i art. 9, stk. 2, vil dog oftest tillige opfylde kravene i art. 6, stk. 1, da kravene i førstnævnte bestemmelse er mere skærpede end i sidstnævnte.

Hvad skal du være opmærksom på

Hvis din virksomhed er etableret i EU og behandler personoplysninger digitalt eller i et register, er den omfattet af databeskyttelsesforordningen. Dette betyder, at du skal iagttage både de generelle principper i art. 5, og have et behandlingsgrundlag, når du databehandler. Det påkrævede behandlingsgrundlag afhænger af, hvilken type af oplysninger, du behandler. For særligt følsomme oplysninger er hjemlen både 9, stk. 2 og art. 6, stk. 1, mens det for alle andre oplysninger kun er art. 6, stk. 1.