Datatilsynet ændrer opfattelse af behandling af følsomme personoplysninger

Ved behandling af følsomme personoplysninger er det efter Datatilsynets nye opfattelse ikke længere tilstrækkeligt at finde en undtagelse i artikel 9, stk. 2. Fremover gælder der et krav om "dobbelthjemmel". Det vil sige, at den dataansvarlige også skal finde en behandlingshjemmel i artikel 6, stk. 1, som vedrører almindelige personoplysninger.

Databeskyttelsesforordningens artikel 9, stk. 1, indeholder forbud mod behandling af følsomme personoplysninger, f.eks. oplysninger om race eller etnisk oprindelse, politisk og religiøs overbevisning, fagforeningsmæssigt tilhørsforhold og helbredsoplysninger mv. 

Tidligere var det tilstrækkeligt for lovlig behandling, hvis man kunne finde en undtagelse i artikel 9, stk. 2 (som f.eks. udtrykkeligt samtykke fra den registrerede) eller i databeskyttelseslovens § 7, som supplerer forordningen. Det er efter Datatilsynets ændrede opfattelse ikke længere tilstrækkeligt. 

Nu skal man ved behandling af følsomme personoplysninger udover at finde en undtagelse i en af førnævnte bestemmelser også finde et behandlingsgrundlag i artikel 6, stk. 1. Datatilsynet har altså introduceret et krav om "dobbelthjemmel". 

Efter Datatilsynets vurdering vil betingelserne i artikel 6 sædvanligvis være opfyldt, hvis der kan identificeres en undtagelse til forbuddet i artikel 9, stk. 2, eller den supplerende bestemmelse i databeskyttelseslovens § 7, men det er ikke altid tilfældet. 

Den ændrede praksis vil blandt andet betyde, at den registrerede kan udøve indsigelsesretten i artikel 21 i forbindelse med behandlingen af sine følsomme personoplysninger, når det "supplerende" behandlingsgrundlag enten er databeskyttelsesforordningens artikel 6, stk. 1, litra e (nødvendigt for udførelse af opgaver i samfundets interesse eller under offentlig myndighedsudøvelse) eller litra f (den såkaldte interesseafvejningsregel).

I forbindelse med praksisændringen har Datatilsynet offentliggjort et baggrundsnotat, hvori tilsynet blandt andet henviser til vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB), domme afsagt af EU-Domstolen og en præambelbetragtning i forordningen. 

Kromann Reumerts bemærkninger

Praksisændringen kan betyde, at virksomheder og myndigheder, der behandler følsomme personoplysninger, skal supplere deres databeskyttelsesretlige dokumenter, herunder politikker og fortegnelser, med henvisning til et relevant behandlingsgrundlag efter artikel 6, stk. 1. 

Datatilsynet har dog givet udtryk for, at det er tilstrækkeligt, at dokumenterne først tilpasses i forbindelse med den dataansvarliges løbende ajourføring. 

Det er vanskeligt at udpege de omstændigheder, der har foranlediget den pludselige praksisændring. I baggrundsnotatet henviser Datatilsynet blandt andet til præambelbetragtning 51. Heraf følger, at "Foruden de specifikke krav til sådan behandling bør de generelle principper og andre regler i denne forordning finde anvendelse, navnlig for så vidt angår betingelserne for lovlig behandling". Således har Datatilsynet indfortolket en henvisning til artikel 6, selvom "lovlig behandling" lige så vel kunne være en henvisning til det generelle princip i artikel 5, stk. 1, litra a, hvorefter personoplysninger skal behandles "lovligt, rimeligt og på en gennemsigtig måde". 

Samtidig henviser Datatilsynet til vejledninger fra Det Europæiske Databeskyttelsesråd, som omhandler specifikke områder – nemlig behandlingen af personoplysninger i forbindelse med kliniske forsøg og videoovervågning.

Under alle omstændigheder er det vigtigt, at man som myndighed eller virksomhed retter sig efter Datatilsynets nye opfattelse og således både finder en undtagelse i artikel 9, stk. 2, til lovlig behandling af følsomme personoplysninger og et behandlingsgrundlag i artikel 6, stk. 1. 

Læs Datatilsynets nyhed
Læs baggrundsnotatet