Indtast din registrerede e-mail:
Indtast ny adgangskode:

BEHANDLINGSBETINGELSERNE​

​En behandling af en almindelig personoplysning skal have et grundlag, ellers må den ikke foretages. Forordningen har syv forskellige grundlag, man kan anvende. Disse grundlag kaldes også behandlingsbetingelserne. Det er nok at opfylde et enkelt grundlag. Følsomme oplysninger må som udgangspunkt ikke behandles, medmindre en undtagelse finder anvendelse. De syv betingelser for behandling af almindelige oplysninger er:

  • Samtykke
  • Nødvendig for at opfylde en aftale, den registrerede er part i
  • Nødvendig for at overholde en retlig forpligtelse
  • Nødvendig for at beskytte den registreredes vitale interesser
  • Nødvendig for at udføre en opgave i samfundets interesse
  • Nødvendig for at udføre offentlig myndighed
  • Nødvendig for at forfølge en legitim interesse (interesseafvejningsgrundlaget)

Samtykke
Samtykket er formentlig det sikreste grundlag at bruge, såfremt samtykket er indhentet korrekt. For de fleste andre grundlag er der et usikkerhedsmoment, som der ikke er ved et samtykke – har man et samtykke til en behandling, er man på nogenlunde sikker grund. Samtykket har den ulempe, at det kan tilbagekaldes, hvorefter man ikke længere kan bruge det som grundlag for behandlingen (men man kan måske have et andet grundlag, typisk interesseafvejningsgrundlaget) .
Forordningen har nogle krav, der skal opfyldes, før der er tale om et gyldigt samtykke. Det skal være frivilligt, specifikt, informeret og utvetydigt. For at et samtykke er informeret, skal der gives oplysninger om behandlingen, og at et samtykke altid kan trækkes tilbage.

Der er ikke nogen formkrav til samtykket. Det kan derfor være skriftligt, mundtligt eller elektronisk. Pga. dokumentationskravet er det dog ønskeligt, at den dataansvarlige og databehandleren bruger elektronisk eller skriftligt samtykke, når det er muligt, da man kan ifalde en bøde, hvis man ikke kan dokumentere sit grundlag. 

Nødvendig for at opfylde en aftale, den registrerede er part i

Dette grundlag ligner samtykket en del. Grundlaget går ud på, at den registrerede har indgået en kontrakt, og det herefter er nødvendigt for at opfylde kontrakten, at man indhenter oplysninger om ham. Da kontrakter er bindende, kan der ikke ske tilbagekaldelse ligesom ved samtykket. Det er et krav, at den registrerede er part i kontrakten.

Nødvendig for at overholde en retlig forpligtelse

Hvis en forpligtelse fremgår af en lov eller en bekendtgørelse, kan dette fungere som grundlag for behandling. Efter hvidvaskningsloven har visse private pligt til at indsamle nogle økonomiske oplysninger om deres kunder og klienter og videregive oplysningerne til staten. Som følge heraf, kan man altså indsamle og videresende disse oplysninger med dette grundlag.


Nødvendig for at beskytte den registreredes vitale interesser

Anvendelsen af dette grundlag forudsætter, at de andre grundlag ikke kan bruges. Grundlaget kan bruges, hvis det er meget vigtigt for den registrerede, og han ikke kan varetage interessen selv, fx fordi han er syg, bortrejst eller forulykket. Det vil kun undtagelsesvist kunne bruges af virksomheder.


Nødvendig for at udføre en opgave i samfundets interesse

En opgave i samfundets interesse kan være videregivelse af almindelige oplysninger som led i udvikling af sygdomsbekæmpelse. Det er et krav, at det skal hjælpe en bredere gruppe af mennesker, og ikke blot en enkeltperson. Grundlaget vil sjældent kunne anvendes af virksomheder.


Nødvendig for at udføre offentlig myndighed

Ifølge dette grundlag kan man behandle oplysninger som led i offentlig myndighedsudøvelse. Det vil kun være relevant for virksomheder i det omfang, de har et samarbejde med det offentlige.

Nødvendig for at forfølge en legitim interesse

Dette grundlag har enorm praktisk relevans for virksomheder, især som arbejdsgivere. Udtrykket ”legitim interesse” dækker over en bred vifte af forskellige interesser.

Det er dog ikke nok, at man forfølger en legitim interesse. Den legitime interesse skal også overstige den registreredes interesse i at der ikke foretages nogen behandling. Der skal altså foretages en konkret interesseafvejning mellem virksomhedens interesse og den registreredes interesse. Det vil derfor afhænge af den konkrete situation, hvordan udfaldet af denne afvejning bliver. Hvis virksomheden vil være på den sikre side, skal den derfor undlade at foretage behandling, når der er tvivl om afvejningen.

Da det er en interesseafvejning, er det svært at bruge reglen i praksis, og der vil altid være en vis usikkerhed. Det vil derfor være en god ide at prøve at skaffe et andet grundlag. Der foreligger allerede en del praksis ved fortolkningen af dette grundlag. Eksempelvis kan grundlaget ikke bruges til at offentliggøre billeder af en ansat på virksomhedens hjemmeside.

Følsomme oplysninger

Følsomme personoplysninger må som udgangspunkt ikke behandles, medmindre en af undtagelserne i forordningen finder anvendelse. Virksomheder har typisk oplysninger om deres ansattes fagforeningsforhold og helbred, ligesom visse virksomheder som tandlægeklinikker har helbredsoplysninger om deres patienter. Undtagelserne ligner meget behandlingsbetingelserne for almindelige personoplysninger, men de skal forstås snævrere, og man skal i tvivlstilfælde lade være med at foretage behandlingen. De mest relevante undtagelser er:

  • Udtrykkeligt samtykke: Giver personen et udtrykkeligt samtykke, kan behandlingen af personfølsomme oplysninger omfattet af samtykket finde sted.

  • Allerede offentliggjort af den registrerede: Det er et krav for at anvende denne undtagelse, at det er den registrerede selv, der har foretaget offentliggørelsen. Hvis den følsomme oplysning er offentliggjort af en anden, kan undtagelsen ikke bruges.

  • Arbejdsretlige forpligtelser og rettigheder: Når man skal behandle en oplysning for at opfylde en arbejdsretlig forpligtelse eller håndhæve en arbejdsretlig rettighed, er det tilladt at behandle oplysninger om fagforeningsmæssige tilhørsforhold.

Behandling er nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares

Dette indebærer, at man gerne må sende følsomme oplysninger om fx en ansat til sin advokat for at vurdere, om man har et krav mod vedkommende, eller om den ansatte har et krav mod virksomheden som følge af en arbejdsskade.

Kurser om persondataforordningen

Hos Leoni Advokater afholder vi gratis kurser i, hvordan man i praksis implementerer forordningen i en virksomhed. Kurserne er både rettet til ledelsen, der skal stå for implementeringen, og til de medarbejdere, der skal behandle personoplysninger. Korrekt implementering kræver, at hele virksomheden løfter i flok – både i toppen og i bunden.

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden netIP.

​​På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden netIP, der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.​

netIP anbefaler- behandlingsbetingelser stadigt gyldige? – du bør have data om data!

​I forlængelse af forrige nyhedsbreve, kan din virksomhed principielt indføre interne retningslinjer og processer. Dette tilsigter, at medarbejderne hver især selv holder styr på, hvornår det enkelte stykke data, såsom et dokument, en note, mv., stadigt er relevant i forhold til det oprindeligt gyldige behandlings-grundlag. Og efterfølgende vurderer om behandlingen og opbevaring af data er berettiget.

Tillid til at den enkelte husker, eller f.eks. holder styr på dette i en mappestruktur og sideløbende noter, kan være nok i et lille omfang. Alternativt kan anvendelse af et egentligt CRM system, hvori stamdata om kunder, samarbejdspartnere osv. håndteres, være vejen at gå. Især hvis systemet understøtter en sondring mellem forskellige aktiviteter (formål for behandling) hvorunder oplysninger/data opbevares struktureret.

En anden mulighed er mere generelle vidensdelingsløsninger, såsom Microsoft SharePoint eller forskellige intranetløsninger, så længe disse tillader, at I påfører metadata (ekstra data om det enkelte stykke data, såsom emneområde, udløbsdato). Derved kan I lettere sortere, søge, begrænse, slette og automatisere ift. berettigede formål.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - En god plan – klare mål

Der er ikke længe til, at persondataforordningen skal træde i kraft. D. 25. maj 2018 er om et øjeblik i en travl hverdag. Der kan være meget, der skal falde på plads til den tid. Som bekendt spises elefanter én bid af gangen, så kunsten er at opdele implementeringen i små bidder. Opgaven skal være overskuelig med tydelige skridt på vejen. 

Ofte falder vi for drifts-hensynet. Det er produktionen, der giver mad på bordet. Konsekvensen er frustrerende brandslukningsmanøvrer, hvor alt skal klappe på én dag. Vi får det ikke forberedt godt nok, og kommer så til at trækkes med konsekvenserne. Det slider på organisationens medarbejder samt en realistisk modstand næste gang noget skal implementeres. Sæt tid af til forberedelse, læg en plan med klare mål på vejen og følg den. 

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.

Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig. 

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

​​

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.

VED SPØRGSMÅL ER DU MEGET VELKOMMEN TIL AT KONTAKTE VORES persondataretsADVOKAT

Bent Bro Miltersen

Leoni Advokater

Sct. Mathias Gade 96B

8800 Viborg

Nørregade 27,1.

7500 Holstebro​​

​Fredrikstadvej 1 

9200 Aalborg SV

  Telefon: 8662 0600

  Fax: 9749 1010

  Mail: post@leoniadvokater.dk

Åbningstider

​Mandag-torsdag: 8-16

Fredag: 8-15

Klientkonto

Jyske Bank 7831-0001181453

Vestjysk Bank 7605-0001392959

​Sparekassen Danmark 9070-1632644651

​NYTTIGE GENVEJE​

Kompetencer

Medarbejdere

Kurser

Auktioner

Nyheder

Kontakt

Karriere

Forretningsbetingelser

VORES ADVOKATER​

Christian Beck Asmussen

Christopher Bering

Claus Pedersen

Flemming Schiøler

Hans Peter Storvang

Kathrine Ebsen Stoltz

Lars Kaasgaard

Lars Thousig

Lene Brun

Morten Bundgaard

Nazanin Hosseini

Glenn R. Muir

Ole Thiel

Per Steffensen

Stina Borup

Tina Bach

Tobias Worsøe