Billede: Colourbox

14.01.20 Vi rådgiver dig Nyheder

Nyt fra Datatilsynet om følsomme personoplysninger

Datatilsynet har på baggrund af vejledninger fra Det Europæiske Databeskyttelsesråd og domme afsagt af EU-domstolen ændret opfattelse, i forhold til hvilket behandlingsgrundlag der skal være tilstede, når en dataansvarlig behandler følsomme personoplysninger.

Datatilsynets udtalelse

Det er fremover Datatilsynets opfattelse, at en dataansvarlig, blandt andet en arbejdsgiver, som behandler følsomme personoplysninger, ikke kun skal identificere en hjemmel til behandlingen i databeskyttelsesforordningens artikel 9, stk. 2 eller bestemmelser, som gennemfører forordningens artikel 9, men også skal kunne pege på et lovligt grundlag for behandlingen i databeskyttelsesforordningens artikel 6 (behandlingsgrundlaget for almindelige personoplysninger).

Derudover skal man som dataansvarlig huske, at principperne for behandling af personoplysninger i databeskyttelsesforordningens artikel 5 altid skal være opfyldt.

Hvad er nyt?

Det nye er, at der ud over en hjemmel i databeskyttelsesforordningens artikel 9 eller bestemmelser, der gennemfører artikel 9, nu også skal være et lovligt grundlag for behandling i databeskyttelsesforordningens artikel 6 for at kunne behandle følsomme personoplysninger. Formålet med dette er blandt andet øget fokus på en højere integritetsbeskyttelse af personoplysninger.

Fordi der normalt også vil være hjemmel til behandling af oplysninger i databeskyttelsesforordningens artikel 6, når der er hjemmel til behandling af følsomme oplysninger i forordningens artikel 9, stk. 2, har ændringen begrænset betydning for arbejdsgiverens mulighed for at behandle følsomme oplysninger.

Datatilsynet har dog tilkendegivet, at der på baggrund af den ændrede retsopfattelse kan være enkelte tilfælde, hvor behandling af følsomme personoplysninger ikke lovligt kan ske, fordi ingen af betingelserne i databeskyttelsesforordningens artikel 6, stk. 1 er opfyldt, selv om der kan identificeres en hjemmel til behandlingen i forordningens artikel 9 eller bestemmelser, der gennemfører forordningens artikel 9.

Følsomme personoplysninger

Følsomme personoplysninger er oplistet i databeskyttelsesforordningens artikel 9, stk. 1, og er en udtømmende liste over personoplysninger, der er følsomme.

Der er tale om følgende oplysninger:

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsmæssigt tilhørsforhold
  • genetisk eller biometrisk data med det formål at identificere en fysisk person
  • helbredsoplysninger
  • oplysninger om en persons seksuelle forhold eller seksuel orientering.

Oplysninger, som ikke er omfattet af den ændrede retsopfattelse

Behandling af oplysninger om en medarbejders cpr-nr. eller strafbare forhold er ikke omfattet af databeskyttelsesforordningens artikel 9, men derimod forordningens artikel 10 og artikel 87.

Her skal I altså ikke finde et lovligt grundlag for behandling i databeskyttelsesforordningens artikel 6.

Det samme gælder også i forhold til databeskyttelseslovens § 12 om behandling af personoplysninger i ansættelsesforhold.

Husk at tilpasse jeres persondatapolitikker mv.

Datatilsynet har oplyst, at de ikke forventer, at I som dataansvarlige – som følge af den ændrede retsopfattelse – genåbner alle jeres databeskyttelsesretlige dokumenter, herunder fortegnelsen.

Datatilsynet forventer dog, at eventuelle tilpasninger eller justeringer af databeskyttelsesretlige dokumenter sker løbende, når dokumenterne alligevel skal justeres eller ajourføres af jer.

I skal som virksomhed være opmærksom på, at den ændrede retsopfattelse kan betyde, at I som dataansvarlige vil skulle foretage ændringer i jeres databeskyttelsesretlige dokumenter, herunder persondatapolitikker mv., når I genbesøger jeres interne vurderinger.

DI's råd

Udtalelsen viser, at Datatilsynet løbende er meget opmærksom på den praksis og udvikling, der sker på området i EU, herunder både ved EU-domstolen og Det Europæiske Databeskyttelsesråd. 

DI følger med i denne udvikling.

Skabeloner

Skabelon til personalepolitik om persondata

Hent

Har du brug for hjælp?

I Juravagten sidder DI's eksperter inden for ansættelsesret og personalejura klar, hvis du har brug for hjælp.

Åbningstider:

Mandag til fredag kl. 8.00 - 17.00 

Telefon: 3377 3377
Mail: jura@di.dk

Relateret

Brug for rådgivning?

Skriv til vores eksperter