Hvorfor kan vi ikke længere nøjes med hjemlen i artikel 9 stk. 2?
Fordi bl.a. flere EU-tekster, herunder vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB) og domme afsagt af EU-Domstolen fortolkes af Datatilsynet som, at det ikke længere vil være muligt at nøjes med at bruge artikel 9 stk. 2 som hjemmel.
Hvilke ændringer skal den dataansvarlige så foretage sig?
Datatilsynet antager, at de fleste dataansvarlige, som behandler følsomme oplysninger, i forvejen også behandler ikke-følsomme oplysninger og derfor allerede har gjort sig klart – og formentlig allerede oplyst om – det retlige grundlag for behandling efter forordningens artikel 6 – og derfor ikke behøver at foretage sig noget.
Har de ikke det, forventer Datatilsynet imidlertid ikke, at dataansvarlige – som følge af den ændrede retsopfattelse – genåbner alle databeskyttelsesretlige dokumenter, herunder fortegnelsen. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af databeskyttelsesretlige dokumenter sker løbende, når dokumenterne alligevel skal justeres eller ajourføres af den dataansvarlige.
Særlige hjemler i databeskyttelsesloven
Samtidig oplyser Datatilsynet, at de anser det for tilstrækkeligt at oplyse følgende hjemler i databeskyttelsesloven – og helt undlade at oplyse hjemler fra Persondataforordningen:
-
Strafbare forhold: hjemmel – databeskyttelseslovens § 8
-
CPR-nummer: hjemmel – databeskyttelseslovens § 1
-
Personaleoplysninger: hjemmel – databeskyttelseslovens § 12.
Læs mere her på Datatilsynets hjemmeside.