Ændret praksis for dataansvarliges behandling af følsomme oplysninger
Datatilsynet vil fremadrettet vurdere dataansvarliges behandling af følsomme oplysninger, som er omfattet af databeskyttelsesforordningens artikel 9, stk. 1 ud fra et krav om en dobbelthjemmel. En undtagelse til forbuddet skal nu både kunne identificeres i forordningens artikel 9, stk. 2 og i forordningens artikel 6.
Kravet om dobbelthjemmel
En dataansvarlig kan behandle følsomme personoplysninger, som er omfattet af forbuddet i databeskyttelsesforordningens artikel 9, stk. 1, hvis en undtagelse til forbuddet kan findes enten i forordningens artikel 9, stk. 2 eller andre bestemmelser i forordningen, som gennemfører forordningens artikel 9. Herudover skal der fremover samtidig være et lovligt grundlag til behandlingen af følsomme oplysninger i forordningens artikel 6. Datatilsynet stiller derfor fremadrettet krav om dobbelthjemmel for, at dataansvarlige kan behandle oplysninger efter forordningens artikel 9, stk. 1.
Forud for ændringen har Datatilsynet kun stillet krav om identifikation af én undtagelse, hvor behandling af oplysninger efter artikel 9, stk. 1 kunne ske ved identifikation af en undtagelse i artikel 9, stk. 2. Der har derfor hidtil ikke været et krav om identifikation af en undtagelse i forordningens artikel 6.
Ændringen sker på baggrund af praksis for behandling af personoplysninger inden for EU, som et bidrag til en ensartet anvendelse af databeskyttelsesforordningen i hele EU. Tilsynsmyndighederne inden for EU samarbejder og indretter deres praksis efter hinanden. Det Europæiske Databeskyttelsesråd (EDPB) har skrevet flere vejledninger, som understøtter kravet om dobbelthjemmel, hvor de direkte nævner artikel 6. Herudover har EU-domstolen afsagt flere domme, som ligeledes understøtter den fremadrettede praksis. EU-Domstolen har senest i sagen C-136/17 forudsat, at betingelserne i artikel 6 ligeledes skulle være opfyldt i forbindelse med behandling af følsomme personoplysninger.
Hvilken betydning vil praksisændringen få?
Dataansvarlige, der behandler følsomme oplysninger, som er omfattet af forbuddet i artikel 9, stk. 1 skal fremadrettet tage stilling til, om der både kan findes en undtagelse til forbuddet i artikel 9, stk. 2 eller bestemmelser, der gennemfører forordningens artikel 9 samtidig med et lovligt grundlag for behandlingen i artikel 6. De generelle principper for behandling af personoplysninger, som fremgår af forordningens artikel 5 (bl.a. at behandlingen skal være lovlig, rimelig, have et sagligt formål med videre), skal dog altid være opfyldt ved behandling af personoplysninger.
Datatilsynet vurderer, at betingelserne i artikel 6 oftest vil være opfyldt, når betingelserne i artikel 9, stk. 2 eller bestemmelser, der gennemføre artikel 9, er opfyldt. Man skal dog være opmærksom på, at der kan være undtagelser.
I nogle tilfælde vil der i national ret være bestemmelser, som både gennemfører én af undtagelserne i forordningens artikel 9, stk. 2 og tilpasser anvendelsen af forordningens artikel 6, stk. 1 inden for rammerne af det nationale råderum, som følger af artikel 6, stk. 2 og 3. Dette gælder fx databeskyttelseslovens §§ 9 og 10. Her vil det være tilstrækkeligt at vurdere, om den nationale bestemmelse er opfyldt.
Datatilsynet bemærker også, at behandling af oplysninger efter databeskyttelsesloven §§ 8, 11 og 12 ikke kræver dobbelthjemmel og dermed ikke kræver identifikation af et lovligt grundlag i artikel 6.
Datatilsynet vurderer i deres baggrundsnotat, at den nye praksis navnlig vil have betydning i forhold til indsigelser efter forordningens artikel 21. Med praksisændringen får den registrerede mulighed for at kunne gøre indsigelse mod behandling af følsomme personoplysninger, som behandles efter artikel 9, når behandlingen af oplysninger sker på grundlag af forordningens artikel 6, stk. 1, litra e eller litra f – også selvom den dataansvarlige opfylder undtagelserne i artikel 9, stk. 2 eller bestemmelser, der gennemfører forordningens artikel 9.
Datatilsynet nævner et eksempel på en situation, hvor undtagelsen i artikel 9, stk. 2 er opfyldt, men hvor der ikke foreligger et lovligt grundlag efter artikel 6, stk. 1, litra a-f. Eksemplet omhandler en virksomhed, der som dataansvarlig oprettet et register over personer med en bestemt sygdom eller et bestemt politisk tilhørsforhold ud fra disse personers omtale på de sociale medier med det formål at målrette deres markedsføring. Her vil betingelsen om offentliggørelse fra den registrerede efter artikel 9, stk. 2, litra e være opfyldt, men der vil efter Datatilsynets opfattelse ikke foreligge et lovligt grundlag efter artikel 6.
Dataansvarlige skal ifølge Datatilsynet ikke gennemgå samtlige af deres databeskyttelsesretlige dokumenter, herunder fortegnelser, som følge af den ændrede praksisopfattelse. Tilpasninger og justeringer af relevante dokumenter i forhold til behandling af følsomme oplysninger kan ske løbende, når dokumenterne alligevel skal ajourføres af den dataansvarlige.