EU-domstolen træffer afgørelse i Schrems 2
Ikke kategoriseret

Ny praksis for behandlingsgrundlag i forbindelse med følsomme personoplysninger

Indtil november måned 2019 var Datatilsynets fortolkning af Databeskyttelsesforordningen sådan, at bestemmelserne i art. 6 udgjorde de lovlige behandlingsgrundlag for behandlingen af almindelige personoplysninger mens artikel 9 indeholdt behandlingsgrundlagene for følsomme/særlige kategorier af personoplysninger.

Indtil da var det en kilde til stor undren her hos Pdhub, at en række andre tilsynsmyndigheder havde en helt anden udlægning af dette helt centrale område i Databeskyttelsesforordningen. Fx kunne man på den britiske tilsynsmyndigheds (ICO – Information Commissionor’s Office) hjemmeside læse følgende om behandlingen af særlige kategorier af personoplysninger:

” You must always ensure that your processing is generally lawful, fair and transparent and complies with all the other principles and requirements of the GDPR. To ensure that your processing is lawful, you need to identify an Article 6 basis for processing.

In addition, you can only process special category data if you can meet one of the specific conditions in Article 9 of the GDPR. You need to consider the purposes of your processing and identify which of these conditions are relevant.”

Den britiske fortolkning har altså hele tiden været, at artikel 6 udgør de lovlige behandlingsgrundlag for behandlinger af både almindelige og særlige kategorier af personoplysninger, mens artikel 9 angiver de mulige dispensationer fra det generelle forbud mod behandling af følsomme/særlige kategorier af personoplysninger.

Datatilsynet meddelte i november måned, at man ”på baggrund af bl.a. flere EU-tekster, herunder vejledninger fra Det Europæiske Databeskyttelsesråd (EDPB) og domme afsagt af EU-Domstolen”, nu vurderede, at Tilsynets hidtidige opfattelse af retstilstanden ikke længere kunne opretholdes.

Tilsynet meddelte, at det fremover vil være opfattelsen, at dataansvarlige, som behandler følsomme oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1, skal kunne identificere en undtagelse til dette forbud i enten forordningens artikel 9, stk. 2, eller bestemmelser, der gennemfører forordningens artikel 9, og et lovligt grundlag for behandling i forordningens artikel 6.

Hermed kom det danske datatilsyn altså på linje med bl.a. kollegaerne i Storbritannien.

Figuren nedenfor giver et samlet overblik over, hvordan den danske Databeskyttelseslovgivning (der udgøres af Databeskyttelsesforordningen og Databeskyttelsesloven) regulerer behandlingsgrundlagene for forskellige typer af personoplysninger.

Læs mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *