Fokus på databeskyttelse
Fokus på databeskyttelse
Brug altid et lovligt grundlag når I behandler personoplysninger
Inden man som dataansvarlig behandler personoplysninger, skal man vurdere lovligheden af behandlingen. Man skal derfor finde et retligt grundlag for sine behandlinger. Desuden skal man sørge for at alle de andre forhold i forordningen er opfyldt. I denne artikel vil vi se på, hvordan man sikrer sig et samlet lovligt grundlag for sine behandlinger.
Den lovlige behandling
Den lovlige behandling sikres ved at finde et retligt grundlag at behandle oplysningerne på. Udgangspunktet er, at der ikke må behandles personoplysninger med mindre et sådant retligt grundlag kan findes. For at behandle almindelige personoplysninger skal man kunne finde et retligt grundlag i artikel 6: samtykke, indgåelse eller opfyldelse af en kontrakt, retlig forpligtelse, vital interesse, udførelse af en opgave i samfundets interesse eller under offentlig myndighedsudøvelse eller interesseafvejning.
For følsomme oplysninger skal man fastslå, om en af undtagelsesbestemmelserne i artikel 9 gør sig gældende, hvorefter man for en række af undtagelserne skal finde retligt grundlag i artikel 6. Kan man ikke gøre brug af en af undtagelsesbestemmelserne i artikel 9, må man ikke behandle følsomme oplysninger.
Offentlige myndigheder må behandle oplysninger om strafbare forhold med hjemmel i artikel 10. Foruden forordningen finder der dog en national hjemmel til at behandle sådanne oplysninger i databeskyttelseslovens § 8. Det er heraf, at det følger, at private må behandle sådanne oplysninger med en skærpet interesseafvejning og i øvrigt i henhold til den praksis, der er fastlagt.
Behandling af oplysninger om CPR-nummer er der ligeledes særlige nationale regler for i databeskyttelseslovens § 11 jf. forordningens artikel 87. Generelt er der i national lovgivning udnyttet muligheder for behandling i særlige situationer i forhold til aktindsigt, ansættelsesforhold, arkivformål eller historiske eller statistiske formål.
Det er imidlertid ikke alene gjort med at finde et retligt grundlag.
Principperne
Foruden det retlige grundlag skal den dataansvarlige altid sikre sig, at de grundlæggende principper i artikel 5 er opfyldt. Den dataansvarlige skal dermed sikre, at behandlingen er lovlig, rimelig og gennemsigtig, at behandlingen har et præcist afgrænset formål, at der ikke indsamles flere oplysninger end nødvendigt for at opfylde formålet, at de personoplysninger som behandles er korrekte, at personoplysningerne slettes, når der ikke længere er brug for dem, at der er implementeret sikkerhedsforanstaltninger svarende til risici, og at den dataansvarlige kan dokumentere ovenstående tiltag.
Iagttagelse af de registreredes rettigheder fra forordningens kapitel III
De registrerede har en række rettigheder. Først og fremmest skal de oplyses om, at behandling finder sted. Herefter har de registrerede ret til indsigt i oplysninger og behandlinger m.v., de har i en række situationer ret til at få oplysningerne berigtiget eller slettet, de kan få begrænset behandlingen, de har under visse omstændigheder ret til dataportabilitet, de kan gøre indsigelse mod behandlingen, og de har under visse omstændigheder ret til ikke at blive profileret.
Der findes en række undtagelser, der betyder, at de registreredes rettigheder kan sættes ud af kraft. Men hvis ingen af disse undtagelser gør sig gældende, skal den dataansvarlige sikre sig, at de registrerede kan udleve deres rettigheder.
Dataansvarlige og databehandler generelle forpligtelser efter forordningens kapitel IV
Den dataansvarliges overordnede ansvar er præciseret i artikel 24, hvoraf det fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen er i overensstemmelse med forordningen. Dette ansvar udmøntes gennem en række mere konkrete forpligtelser.
Først og fremmest skal der implementeres sikkerhedsforanstaltninger svarende til risici i henhold til artikel 32. Den dataansvarlige skal altså lave en risikovurdering set fra den registreredes perspektiv og herefter mitigere denne risici passende gennem foranstaltninger. Der skal, hvis behandlingen udgør en høj risiko for den registrerede foretages konsekvensanalyse af behandlingen jf. artikel 35. Hvis der sker brud på persondatasikkerheden, skal der foretages anmeldelse jf. artiklerne 33 og 34.
Den dataansvarlige skal også i henhold til artikel 25 designe sin løsning og understøtte løsningen med foranstaltninger, således at løsningen altid respekterer de fundamentale principper i artikel 5.
Videre skal den dataansvarlige styre sine underleverandører / databehandlere i henhold til de krav der anføres i artikel 28. Dette skal bl.a. ske ved at indgå databehandleraftaler med databehandlerne og kontrollere at disse efterleves i praksis.
Yderligere skal der jf. artikel 30 tilvejebringes en fortegnelse over behandlingsaktiviteter, hvor den dataansvarlige kan demonstrere bl.a. formål med behandlingen, kategorier af registrerede, kategorier af personoplysninger, beskrive hvem personoplysningerne evt. videregives til, beskrive om der evt. sker overførsel til tredjelande. En sådan fortegnelse kan trækkes direkte, hvis man har gennemført sin kortlægning i Teams GDPR systemet.
Endelig skal en række dataansvarlige jf. artiklerne 37-39 udpege databeskyttelsesrådgivere.
Overførsel til tredjelande jf. forordningens artikel V
Den dataansvarlige skal sikre sig, at der foreligger et retligt grundlag, hvis der skal ske overførsel af personoplysninger til tredjelande. Kommissionen har godkendt en række lande, som sikre tredjelande. Til disse kan overførsel umiddelbart ske. Alternativt kan overførsel ske, hvis en række ”fornødne garatier” er på plads. Det mest almindelige er gennem bindende virksomhedsregler, EU Kommissionens standardkontrakter.
Konklusion
Der er, som ovenstående viser, ganske meget, der skal være opfyldt, før man kan gå i gang med at behandle personoplysninger. Den typiske proces kan opsummeres som en lille tjekliste:
- Hvad er det for et formål, vi gerne vil opfylde, når vi ønsker at behandle personoplysninger?
- I nær tilknytning hertil bør man også vurdere, om man kan opfylde formålet uden at behandle personoplysninger, og hvilke personoplysninger der er nødvendige for formålet.
- På hvilket grundlag kan vi behandle disse personoplysninger?
Her er det vigtigt at have en liste over de personoplysninger, som skal behandles, så man kan tage stilling til, om de er almindelige, følsomme, eller om strafbare forhold. Det er nemlig afgørende for, om man skal finde sit retlige grundlag i artikel 6, 9, 10 eller i national lovgivning.
Herefter skal man sikre sig, at man opfylder alle de andre persondataretlige krav – herunder bl.a. at der ikke indsamles mere end der er brug for henset til formålet, at vi sletter oplysningerne, når formålet er opfyldt, at oplysningerne ikke efterfølgende bruges til ulovlige formål, at oplysningerne ikke videregiver til uvedkommende, at de registrerede ved at oplysningerne behandles og kan udøve sine rettigheder, at der er god sikkerhed om oplysningerne, at der er styr på it-serviceproviderne og deres behandling, at oplysningerne ikke overføres til tredjelande uden retligt grundlag m.v.
Rådgivningsformer:
Kortvarige opgaver
Altid ekspertise ved hånden til engangsopgaver
Tilbagevendende projekter
Specialiserede færdigheder og kompetancer
Fuldtidsaftaler
Udvid dit team med en dedikeret medarbejder
Råhovedvej 24 | 4672 Klippinge | CVR-nr. 39 95 21 22
Telefon: 53 81 23 23
© 2018 – 2022 Juritas ApS