Databeskyttelsesforordningen sondrer i artikel 9 og artikel 6 mellem følsomme og almindelige personoplysninger og indeholder forskellige regler for, hvornår behandlingen af hver af disse kategorier må finde sted. Det er derfor ikke blot vigtigt at overveje, om man behandler personoplysninger, men også hvilken kategori af personoplysninger der behandles.

Reglerne for behandling af de såkaldte “særlige kategorier” (følsomme person­oplysninger) følger af databeskyttelses­forordningens artikel 9, der oplister, hvilke personoplysninger der er følsomme. Ved behandling af person­oplysninger, som er omfattet af de “særlige kategorier”, er det særligt vigtigt vigtigt at sikre, at man lovligt kan behandle oplysningerne. Behandlingen skal med andre ord have hjemmel i en af de muligheder, som er angivet i artikel 9, stk. 2, litra a-j. Figuren her på siden er en hjælp til at få svar på, om din behandling af personoplysninger har hjemmel og dermed er lovlig.

CPR-NUMMER OG OPLYSNINGER OM LOVOVERTRÆDELSER OG STRAFBARE FORHOLD

Oplysninger om strafbare forhold og oplysninger om CPR-numre er ikke omfattet af de særlige kategorier af oplysninger; dvs. det er ikke følsomme oplysninger i databeskyttelses­forordningens forstand. Reglerne om, hvornår der må behandles oplysninger om strafbare forhold og CPR-numre, skal findes i den nye data­beskyttelses­lov, som forventes vedtaget i Folketinget umiddelbart inden 25. maj 2018.

ALMINDELIGE PERSONOPLYSNINGER

Almindelige personoplysninger kan lovligt behandles, hvis betingelserne i en af bestemmelserne i data­beskyttelses­­­forordningens artikel 6, stk. 1, litra a-f, er opfyldt.

Med databeskyttelsesforordningen sker der en ændring i forhold til de nu­­gældende regler, så offentlige myndigheder ikke længere kan bruge den såkaldte interesseafvejningsregel som hjemmelsgrundlag for behandling af personoplysninger.

I tilfælde, hvor offentlige myndigheder hidtil har anvendt interesseafvejnings­reglen som behandlingshjemmel, vil det ofte være relevant at overveje, om behandlingen er nødvendig for at udføre en opgave i samfundets interesse eller en opgave, der henhører under offentlig myndighedsudøvelse, og som myndigheden er pålagt at udføre (artikel 6, stk. 1, litra e).

Artikel 6, stk. 1, litra e, kan bl.a. være relevant som hjemmel for den behandling af personoplysninger, som offentlige myndigheder foretager i forbindelse med faktisk forvaltningsvirksomhed, f.eks. drift af biblioteker, skoler, svømme­haller mv. Derudover vil bestemmelsen ofte kunne anvendes som grundlag, når kommuner behandler personoplysninger i forbindelse med opgaver, som udføres på grundlag af de uskrevne grund­sætninger om kommunalfuldmagten. Det er, uanset hvilket hjemmels­grund­lag der anvendes, et krav, at behandlingen af oplysningerne er nødvendig.

GRUNDLÆGGENDE PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER

Visse grundlæggende principper skal altid skal være opfyldt, når man behandler personoplysninger. De grundlæggende principper fremgår af databeskyttelsesforordningens artikel 5. Behandling af personoplysninger skal bl.a. ske lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Samtidig må person­oplysninger alene indsamles til udtrykkeligt angivne og legitime formål, og de skal være korrekte og om nødvendigt ajourførte.