GDPR NYT FRA FOCUS ADVOKATER, NOV. 2019

Væsentlig ændring af opfattelse hos Datatilsynet

Datatilsynet har meldt ud, at tilsynet fremadrettet er af den opfattelse, at når den dataansvarlige behandler følsomme personoplysninger, skal det såkaldte behandlingsgrundlag findes i to artikler i GDPR og ikke som tidligere i én.

I forbindelse med kortlægningen af jeres behandling af personoplysninger har I som dataansvarlige fastlagt et lovligt behandlingsgrundlag efter forordningen (den artikel, hvori det står, hvorfor I må behandle de pågældende personoplysninger) enten i GDPR artikel 6 for så vidt angår de almindelige personoplysninger eller GDPR artikel 9, når I behandler følsomme personoplysninger, f.eks. helbredsoplysninger eller oplysninger om fagforeningsmæssige tilhørsforhold. 

Nu er Datatilsynet imidlertid af den opfattelse, at hvis I behandler følsomme personoplysninger skal I både have et lovligt behandlingsgrund i artikel 9 og artikel 6. Hertil skal de almindelige principper for behandling af personoplysninger i GDPR artikel 5 selvfølgelig stadig overholdes, herunder kravene om opbevaringsbegrænsning, løbende sletning og tilstrækkelig sikkerhed. 
Det kan virke som en stor mundfuld, men hæng i – det er ikke en uvæsentlig ændring, og Datatilsynet forventer, at I som dataansvarlige retter ind efter den ændrede opfattelse.
 

Ændringens praktiske betydning
 

I praksis har ændringen den betydning, at I som dataansvarlige skal genbesøge jeres behandlingsgrundlag, hvis I behandler følsomme personoplysninger. Behandler I ikke følsomme personoplysninger, har ændringen ikke betydning for jer.
Der, hvor I typisk vil have anført behandlingsgrundlagene, er i
-    den lovpligtige fortegnelse og eventuel bagvedliggende kortlægning og
-    de dokumenter I anvender til opfyldelse af oplysningspligten (privatlivspolitikker på hjemmeside, til medarbejdere, kunder m.fl.)

Ændringen medfører næppe, at I ikke længere kan behandle de følsomme personoplysninger, I behandler i dag. I skal blot have taget stilling til efter hvilket behandlingsgrundlag i artikel 6, I også kan behandle disse oplysninger.

Eksempel:
Behandler I i dag helbredsoplysninger om ansatte, fordi I har en arbejdsretlig forpligtelse hertil, anvender I behandlingsgrundlaget i GDPR artikel 9(2)(b). Som følge af Datatilsynets ændring i deres opfattelse af reglerne, skal I nu også finde et lovligt behandlingsgrundlag i artikel 6. Dette er ikke et problem, for I behandler oplysningerne – sammen med en række almindelige oplysninger om den ansatte – med henblik på at kunne opfylde ansættelseskontrakten med den pågældende, altså efter GDPR artikel 6(1)(b). Dette er allerede anført i såvel fortegnelsen over behandlingsaktiviteter i HR som privatlivspolitikker rettet mod medarbejdere, hvorfor det ikke giver anledning til ændringer. 

Som det fremgår af eksemplet – og Datatilsynets pressemeddelelse – vil de dataansvarlige i de fleste tilfælde allerede have et lovligt behandlingsgrundlag i GDPR artikel 6, selv når I behandler følsomme oplysninger. Ændring i tilsynets opfattelse vil derfor ikke nødvendigvis medfører ændringer ude hos jer som dataansvarlige.  

 

Hvordan forholder I jer til ændringen
 

Datatilsynet har i pressemeddelelsen anført, at tilsynet ikke forventer, at de dataansvarlige opdaterer alle fortegnelser og databeskyttelsespolitikker her og nu, men at I som dataansvarlige skal være opmærksomme på ændringen i forbindelse med jeres næste planlagte revision af disse dokumenter. 

Det er Focus Advokaters anbefaling, at I som dataansvarlig – hvis I behandler følsomme personoplysninger – eventuelt allerede nu, hvor ændringen er i frisk erindring, opdaterer fortegnelser og privatlivspolitikker, hvis dette kan ske uden for stor gene for virksomhedens øvrige procedurer og drift. Såfremt den næste revision af dokumenterne er nært forestående, kan det blot skrives som en påmindelse, at behandlingsgrundlaget for behandlingen af følsomme personoplysninger skal ses efter i sømmene. 

Hele Datatilsynets pressemeddelelse kan læses her. Kontakt os, hvis I er i tvivl om, hvorvidt udmeldingen fra Datatilsynet giver anledning til ændringer i jeres eksisterende dokumentation og procedurer. 

Er det noget vi kan hjælpe med?

Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team

Besøg vores hjemmeside Besøg vores hjemmeside
Send os en mail Send os en mail
+45 63 14 20 20 +45 63 14 20 20
FOCUS ADVOKATER P/S ∙ CVR-nr. 34045666

ODENSE ∙ KOLDING ∙ SVENDBORG ∙ KØBENHAVN ∙ HAMBORG


Du er tilmeldt vores nyhedsbrev på <<Email Address>>,
du kan opdatere dine oplysninger her eller afmelde her.