Nyt notat fra Datatilsynet

Ny praksis om hjemlen for behandling af følsomme personoplysninger jf. Datatilsynets notat af 7.11.2019. Dataansvarlige skal fra den 7. november 2019 både angive den konkrete hjemmels-bestemmelse i artikel 9 stk. 2 – OG hjemlen i artikel 6.

Hvorfor kan vi ikke længere nøjes med hjemlen i artikel 9 stk. 2?

Fordi bl.a. flere EU-tekster, herunder vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB) og domme afsagt af EU-Domstolen fortolkes af Datatilsynet som, at det ikke længere vil være muligt at nøjes med at bruge artikel 9 stk. 2 som hjemmel.

Hvilke ændringer skal den dataansvarlige så foretage sig?

Datatilsynet antager, at de fleste dataansvarlige, som behandler følsomme oplysninger, i forvejen også behandler ikke-følsomme oplysninger og derfor allerede har gjort sig klart – og formentlig allerede oplyst om – det retlige grundlag for behandling efter forordningens artikel 6 – og derfor ikke behøver at foretage sig noget.

Har de ikke det, forventer Datatilsynet imidlertid ikke, at dataansvarlige – som følge af den ændrede retsopfattelse – genåbner alle databeskyttelsesretlige dokumenter, herunder fortegnelsen. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af databeskyttelsesretlige dokumenter sker løbende, når dokumenterne alligevel skal justeres eller ajourføres af den dataansvarlige.

Særlige hjemler i databeskyttelsesloven

Samtidig oplyser Datatilsynet, at de anser det for tilstrækkeligt at oplyse følgende hjemler i databeskyttelsesloven – og helt undlade at oplyse hjemler fra Persondataforordningen:

  • Strafbare forhold: hjemmel – databeskyttelseslovens § 8

  • CPR-nummer: hjemmel – databeskyttelseslovens § 1

  • Personaleoplysninger: hjemmel – databeskyttelseslovens § 12.

Læs mere her på Datatilsynets hjemmeside.

Har du spørgsmål til artiklens forfatter?

Felter med * skal udfyldes.

*” indikerer påkrævet felt

Name
Samtykke*
This field is for validation purposes and should be left unchanged.