Nyhed

EU-Domstolen træffer afgørelse om behandling af særlige kategorier af personoplysninger

EU-Domstolen har truffet en afgørelse, som formentlig vil have stor indflydelse på den måde, man fremover behandler særlige kategorier af personoplysninger – også kaldet følsomme personoplysninger – på. Det vedrører de oplysninger, der er opremset i artikel 9 i Databeskyttelsesforordningen, herunder oplysninger om personers seksuelle orientering, politiske overbevisning mv.

EU-domstol

I afgørelsen bekræfter EU-Domstolen, at når en organisation er i stand til at drage konklusioner om følsomme personoplysninger ved hjælp af en "intellectual operation involving comparison or deduction", så vil der være tale om behandling af disse personoplysninger.

Dette kan medføre, at virksomheder, der indsamler store mængder af personoplysninger, samt benytter disse oplysninger til at udlede oplysninger om de registrerede, kan opleve skærpede krav til deres behandling. Afgørelsen vil dog også have afsmitning på øvrige virksomheder og organisationer, da det vil være nødvendigt at tage stilling til, om der kan udledes følsomme personoplysninger fra de oplysninger, man behandler.

sagen kort

Den underliggende sag vedrørte en litauisk organisation, der – herunder for at forebygge korruption – skulle indhente oplysninger om bl.a. deres direktørs registrerede partner/samlever. Disse oplysninger blev herefter offentliggjort på organisationens hjemmeside.

EU-Domstolen konkluderende bl.a., at offentliggørelse af personoplysninger, som indirekte kan afsløre en fysisk persons seksuelle orientering, politiske holdninger, religiøse overbevisninger eller andre oplysninger som nævnt i GDPR artikel 9, vil udgøre behandling af følsomme personoplysninger.

Selvom oplysningerne i dette tilfælde ikke i sig selv faldt under nogen af kategorierne i GDPR artikel 9, kunne den seksuelle orientering altså udledes ved hjælp af navnet på den registreredes samlever.

njords bemærkninger

NJORD vil på baggrund af afgørelsen opfordre til, at organisationer vurderer omfanget af deres behandling af personoplysninger på ny. Det vil være nødvendigt at afgøre, om det kan være muligt at udlede følsomme personoplysninger som nævnes i GDPR artikel 9 ud fra de almindelige personoplysninger, der behandles af organisationen.

I de tilfælde, hvor det viser sig, at sådanne oplysninger kan udledes, vil det være nødvendigt, at organisationen forholder sig til om de har en lovhjemmel til behandlingen af oplysningerne, herunder om det er nødvendigt at indhente et samtykke fra de registrerede.

VIL DU VIDE MERE?
Vil du holdes opdateret?
Skal vi løse dit problem?