Kategorien af personoplysninger
Databeskyttelseslovgivningen indeholder forskellige kategorier af personoplysninger.
De almindelige personoplysninger er alle andre oplysninger end følsomme oplysninger og oplysninger om strafbare forhold.
Følsomme personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jf. databeskyttelsesforordningens artikel 9, stk. 1.
Et lovforslag, der indeholder bestemmelser om behandling af personoplysninger, der er omfattet af databeskyttelseslovgivningen, bør indeholde en beskrivelse af kategorien af de personoplysninger, der behandles, da hjemlen til at behandle personoplysninger er forskellig alt efter, hvilken kategori af personoplysninger, der behandles.
Behandlingshjemler i databeskyttelsesforordningen og databeskyttelsesloven
Databeskyttelsesforordningen og databeskyttelsesloven indeholder en lang række hjemler, der kan ske direkte behandling af personoplysninger på baggrund af.
Behandling af almindelige personoplysninger er efter databeskyttelsesforordningen lovlig, hvis behandlingen opfylder mindst én af betingelserne i artikel 6, stk. 1, litra a-f. En behandling vil eksempelvis være lovlig efter forordningens artikel 6, stk. 1, litra a, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. En behandling vil endvidere eksempelvis være lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, jf. forordningens artikel 6, stk. 1, litra e, eller behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, jf. forordningens artikel 6, stk. 1, litra f.
Efter databeskyttelseslovens § 8, stk. 1, må der for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. De oplysninger, der er nævnt i stk. 1, må ikke videregives. Videregivelse kan dog ske efter bestemmelsens stk. 2, bl.a. hvis den registrerede har givet sit udtrykkelige samtykke til videregivelsen eller videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe. Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede, jf. databeskyttelseslovens § 8, stk. 3. De oplysninger, der er nævnt i stk. 3, må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.
Efter databeskyttelsesforordningens artikel 9, stk. 1, er behandling af følsomme oplysninger – bl.a. helbredsoplysninger – forbudt. Der vil dog eksempelvis kunne ske lovlig behandling, hvis den registreredes har givet udtrykkeligt samtykke til behandling af sådanne oplysninger efter forordningens artikel 9, stk. 2, litra a, eller hvis behandlingen er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. forordningens artikel 9, stk. 2, litra f.
De generelle principper for behandling af personoplysninger
Derudover indeholder databeskyttelsesforordningens artikel 5 en række principper for behandling af personoplysninger, der altid skal overholdes. Det betyder, at personoplysninger eksempelvis skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål, og at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Derudover skal personoplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende peroplysninger behandles. Disse principper gælder altid ved siden af den øvrige lovgivning.
Databeskyttelsesforordningens råderum for fastsættelse af særregler om behandling af personoplysninger
Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen. Databeskyttelsesforordningen giver dog inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.
Medlemsstaternes mulighed for at indføre mere specifikke bestemmelser for behandling af personoplysninger for at tilpasse anvendelsen af databeskyttelsesforordningen vil overordnet ikke være en ændring i forhold til tidligere gældende ret. Hvis lovforslaget fastsætter en dansk særregel om behandling af personoplysninger efter reglerne i databeskyttelsesforordningen skal særreglen dog opfylde en række krav i databeskyttelsesforordningen. I den forbindelse bør ressortministeriet – i et afsnit, der som udgangspunkt placeres i et særskilt punkt i de almindelige bemærkninger umiddelbart inden de obligatoriske konsekvensvurderinger – gennemgå nedenstående tjeklister fra betænkning 1565/2017 om databeskyttelsesforordningen for at vurdere, om den danske særregel ligger inden for rammerne af databeskyttelsesforordningen.
”Tjekliste” ved udarbejdelse af nationale særregler for behandling af almindelige personoplysninger
Denne tjekliste vedrører muligheden for at fastsætte regler for lovlig behandling i overensstemmelse
med artikel 6. Tjeklisten medtager således ikke de andre og mere specifikke krav, som den nationale lovgiver også skal være opmærksom på, som eksempelvis den registreredes rettigheder og begrænsninger heraf, jf. artikel 23, artikel 26 om fælles dataansvarlige og artikel 28 om databehandler.
Når myndigheder fremadrettet overvejer at udarbejde nationale særregler efter det nationale råderum, som databeskyttelsesforordningen efterlader i artikel 6, stk. 2-3, anbefales følgende punkter sammenfattende iagttaget i forhold til vurderingen af, om der er hjemmel til behandlingen:
1. Det kan indledningsvis overvejes, om der overhovedet ønskes fastsat en national regel, eller om behandling fremover skal ske alene efter behandlingsreglerne i databeskyttelsesforordningen. Forordningens behandlingshjemmel i artikel 6, stk. 1, litra e, kan således i mange tilfælde benyttes som direkte hjemmel til behandlingen, hvilket artikel 6, stk. 1, litra c, også kan, så længe der er en retlig forpligtelse, der fremgår af EU-retten eller national ret. I det omfang, det foreslås at indføre nationale særregler, der har erhvervsøkonomiske konsekvenser for danske virksomheder, skal der tages stilling til, om principperne for implementering af erhvervsrettet EU-regulering i Danmark efterleves. Hvis principperne ikke efterleves, skal der forelægges en sag for Implementeringsudvalget.
2. Såfremt det vurderes nødvendigt eller ønskeligt, skal der findes hjemmel til den nationale særregel i forordningens artikel 6, stk. 1, litra c, jf. artikel 6, stk. 2 og 3, hvorefter behandlingen skal være nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller der skal findes hjemmel til den nationale særregel i forordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 2 og 3, hvorefter behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
3. Dernæst skal det vurderes, hvorvidt særreglen indfører mere specifikke bestemmelser for at tilpasse anvendelsen ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling i overensstemmelse med forordningens artikel 6, stk. 2.
4. Endvidere skal der sørges for specifikt vedrørende en retlig forpligtelse, at formålet med behandlingen skal være fastlagt i det nationale retsgrundlag, jf. artikel 6, stk. 3, 2. pkt. Dette krav må antages at kunne opfyldes ved, at formålet med behandlingen kan udledes af pågældende lov med dens forarbejder, under forudsætning af at behandlingen rent faktisk er ”nødvendig”, eller specifikt vedrørende behandling, der er omhandlet i artikel 6, stk. 1, litra e – dvs. af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse – skal der sørges for, at behandlingen skal være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, jf. artikel 6, stk. 3, 2. pkt. Det må også her være tilstrækkeligt for opfyldelse af dette nødvendighedskrav, at det kan udledes af pågældende lov med dens forarbejder.
5. Derudover skal det iagttages, at reglen skal være proportional, jf. forordningens artikel 6, stk. 3, sidste pkt., og artikel 5, stk. 1, litra c. Endvidere skal reglen opfylde et formål i samfundets interesse, hvilket må antages at være opfyldt allerede i og med, at Folketinget vedtager en lov eller en bemyndigelse i en lov, jf. forordningens artikel 6, stk. 3, sidste pkt. Samtidig skal lovgivningen indrettes, så behandlingen kan ske i overensstemmelse med principperne for behandling i forordningens artikel 5, hvilket eksempelvis betyder, at lovgivningen ikke må medføre, at der sker en opbevaring i strid med artikel 5, stk. 1, litra e.
6. Endelig skal det sikres, at der er den rette balance i forhold til den fri bevægelighed for personoplysninger, jf. forordningens artikel 1.
Som eksempel på et lovforslag, hvor tjeklisten for almindelig oplysninger efter databeskyttelsesforordningens artikel 6 gennemgås kan henvises til bemærkningerne til forslaget til databeskyttelsesloven, jf. Folketingstidende 2017-18, A, L 68, som fremsat, side 141 og 142, hvoraf det fremgår, at:
- »Det er af meget væsentlig betydning for såvel enkeltpersoner som virksomheder, at behandling af oplysninger i kreditoplysningsøjemed sker på en saglig og lovlig måde. Ulovlige behandlinger på dette område vil kunne medføre meget alvorlige skadevirkninger for de involverede parter.
- Der bør derfor efter Justitsministeriets opfattelse også i den fremtidige lovgivning fastsættes særlige regler for sådan behandling af oplysninger. Justitsministeriet vurderer, at bestemmelserne i persondatalovens §§ 15-20 og den del af § 23, der ikke vedrører den registrerede, kan opretholdes på grundlag af forordningens artikel 6, stk. 1, litra e, hvorefter behandling er lovlig, hvis den er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. artikel 6, stk. 2 og 3. Justitsministeriet vurderer således, at det er i samfundets interesse, at der er særlige regler om kreditoplysningsbureauer, idet behandlinger på dette område som nævnt vil kunne medføre meget alvorlige skadevirkninger for de involverede parter.
- Justitsministeriet vurderer endvidere, at bestemmelserne lever op til kravet i forordningens artikel 6, stk. 2, om at være mere specifikke bestemmelser om anvendelsen af forordningen. Reglerne er således specifikt afgrænset til at vedrøre særlige oplysninger i form af oplysninger om økonomisk soliditet og kreditværdighed, ligesom behandlingen foregår ved nærmere regulerede kreditoplysningsbureauer – og således vedrører et helt specifikt område for behandling.
- Justitsministeriet vurderer dernæst, at det er nødvendigt med særlige behandlingsregler for personoplysninger ved kreditoplysningsbureauer, idet behandlinger på dette område som nævnt vil kunne medføre meget alvorlige skadevirkninger for de involverede parter. Det er således af væsentlig betydning for såvel enkeltpersoner som virksomheder, at behandling af oplysninger i kreditoplysningsøjemed sker på en saglig og lovlig måde.«
”Tjekliste” for udarbejdelse af nationale særregler for behandling af følsomme personoplysninger
Denne tjekliste vedrører muligheden for at fastsætte regler for lovlig behandling i overensstemmelse med artikel 9. Tjeklisten medtager således ikke de andre og mere specifikke krav, som den nationale lovgiver også skal være opmærksom på, som eksempelvis den registreredes rettigheder og begrænsninger heraf, jf. artikel 23, artikel 26 om fælles dataansvarlige og artikel 28 om databehandler.
Når myndigheder overvejer at udfærdige nationale særregler efter det nationale råderum, som databeskyttelsesforordningen efterlader i artikel 9, stk. 2, litra b, g, h, i og j, anbefales følgende punkter sammenfattende iagttaget i forhold til vurderingen af, om der er hjemmel til behandlingen:
1. Det kan indledningsvis overvejes, om der overhovedet ønskes fastsat en national regel, eller om behandling fremover skal ske alene efter behandlingsreglerne i databeskyttelsesforordningen, eksempelvis forordningens artikel 9, stk. 2, litra f, om behandling, der er nødvendig, for at retskrav kan fastlægges, der kan anvendes direkte som behandlingshjemmel. I den forbindelse kan det indgå i vurderingen, om retsområdet kan administreres alene og direkte på grundlag af behandlingsreglerne i forordningen, hvilket er tilfældet med artikel 9, stk. 2, litra a, c, d, e og f, hvorimod artikel 9, stk. 2, litra b, g, h, i og j, kræver udfyldning i særlovgivningen. I det omfang det foreslås at indføre nationale særregler, der har erhvervsøkonomiske konsekvenser for danske virksomheder, skal der tages stilling til, om principperne for implementering af erhvervsrettet EU-regulering i Danmark efterleves. Hvis principperne ikke efterleves, skal der forelægges en sag for Implementeringsudvalget.
2. Dernæst bør det vurderes, hvorvidt hjemlen til reglen kan findes i forordningens artikel 9, stk. 2, litra b, g, h, i eller j. Det bemærkes, at forordningens artikel 9, stk. 4, endvidere giver medlemsstaterne mulighed for at opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger.
3. Endvidere skal det iagttages, at reglen overholder de øvrige krav, som følger af bestemmelserne i artikel 9, stk. 2-3, eksempelvis at der fastsættes passende og i visse tilfælde specifikke foranstaltninger samt i nogle tilfælde et særligt krav om, at særreglen er proportional (eksempelvis litra g ”står i rimeligt forhold til det mål, der forfølges”), herunder også reglerne i forordningens artikel 88 og 89.
Samtidig skal reglen overholde principperne for behandling i forordningens artikel 5, hvilket eksempelvis betyder, at lovgivningen ikke må medføre, at der sker en ophobning af data i strid med artikel 5, stk. 1, litra e.
4. Endelig skal det sikres, at der er den rette balance i forhold til den fri bevægelighed for personoplysninger, jf. forordningens artikel 1.
Som eksempel på et lovforslag, hvor tjeklisten for behandling af følsomme personoplysninger efter databeskyttelsesforordningens artikel 9, stk. 2, litra h, og stk. 3, gennemgås kan henvises til lovforslag til lov om ændring af lov om social service og lov om socialtilsyn (Styrket tilsyn på ældreområdet), jf. Folketingstidende 2017-18, A, L 210 som fremsat, side 141 og 142, hvoraf det fremgår, at:
- »Sundheds- og Ældreministeriet finder, at de foreslåede bestemmelser i § 150, stk. 3 og 4, § 150 a, stk. 1, § 150 b, stk. 2, § 150 c, stk. 1 og stk. 3, og § 150 d, stk. 3, jf. lovforslagets § 1, nr. 1, kan vedtages inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 2 og 3, samt artikel 9, stk. 1, litra h, jf. artikel 9, stk. 3.
- De foreslåede bestemmelser i § 150, stk. 3 og 4 og § 150 a, stk. 1, som kan omfatte behandling af følsomme personoplysninger, vurderes endvidere at ligge inden for det råderum, som databeskyttelsesforordningen har overladt til medlemsstaterne i artikel 9, stk. 2, litra h. Det bemærkes i den forbindelse, at databeskyttelsesforordningens artikel 9, stk. 2, litra h, efter sin ordlyd kræver udfyldning i særlovgivningen enten i medlemsstaternes nationale ret eller på grundlag af EU-retten.
- Det bemærkes endvidere, at der i forbindelse med den orientering, der skal ske efter de foreslåede bestemmelser i § 150, stk. 3 og 4, alene vil ske videregivelse af personoplysninger, der er nødvendige for, at kommunen kan lave den fornødne opfølgning på hjælpen til borgeren. Handlekommunen har i kraft af kommunens forpligtelser efter de gældende regler i serviceloven adgang til at behandle disse oplysninger.
- Det bemærkes herudover, at behandlingen af oplysninger i forbindelse med den enkelte enheds videregivelse af oplysningerne til Styrelsen for Patientsikkerhed, jf. den foreslåede § 150 a, stk. 1, vil ske med henblik på varetagelse af det foreslåede tilsyn med den social- og plejefaglige indsats.
- Det bemærkes desuden, at den, der virker inden for den offentlige forvaltning, er omfattet af en lovbestemt tavshedspligt, jf. forvaltningslovens § 27, og dette gælder også, når opgaver efter lov om social service overlades til andre end offentlige myndigheder, jf. lov om retssikkerhed og administration på det sociale område § 43. Ansatte i Styrelsen for Patientsikkerhed, kommunerne og de registreringspligtige enheder vil således være omfattet af en lovbestemt tavshedspligt. Betingelsen i databeskyttelsesforordningens artikel 9, stk. 3, om, at behandling af oplysninger omfattet af artikel 9, stk. 1, kan ske til formål, der er omfattet af artikel 9, stk. 2, litra h, hvis oplysningerne behandles af en fagperson, der har tavshedspligt i henhold til medlemsstaternes nationale ret, er således opfyldt.
- Det bemærkes, at Styrelsen for Patientsikkerhed ved indhentning og behandling af oplysninger, som er nødvendige for varetagelsen af tilsynet, vil skulle overholde de generelle principper for behandling af personoplysninger, som fastsættes i databeskyttelsesforordningens artikel 5, stk. 1, hvorefter personoplysninger blandt andet skal behandles lovligt og rimeligt, og på en gennemsigtig måde i forhold til den registrerede enhed, samt indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Der må alene indhentes og behandles oplysninger, der er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til Styrelsen for Patientsikkerheds varetagelse af tilsynet. Endvidere må den stedlige kommunes videregivelse af oplysninger til handlekommunen aldrig gå ud over, hvad der i det konkrete tilfælde må anses for nødvendigt til brug for handlekommunens indsats over for borgeren. Der skal således i hvert enkelt tilfælde foretages en konkret vurdering af de oplysninger, som videregives i forbindelse med underretninger.«
For de bestemmelser i artikel 9, stk. 2, hvor der er krav om, at der skal fastsættes passende og specifikke foranstaltninger, kan der findes inspiration hertil i bemærkningerne til lovforslaget til databeskyttelsesloven, jf. Folketingstidende 2017-18, A, L 68, som fremsat, side 160 og 161.
Endvidere giver databeskyttelsesforordningens artikel 10 om strafbare oplysninger og forordningens kapitel 9 om bestemmelser vedrørende specifikke behandlingssituationer om eksempelvis ytringsfrihed mulighed for, at der kan fastsætte national særlovgivning inden for forordningens råderum. For nærmere herom henvises til betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 233-252 og 948-1000. Hvis et lovforslag fastsætter en dansk særregel om behandling efter disse regler, bør bemærkningerne – i et afsnit, der som udgangspunkt placeres i et særskilt punkt i de almindelige bemærkninger umiddelbart inden de obligatoriske konsekvensvurderinger – ligeledes indeholde en gennemgang af, om særreglen overholder kravene i forordningen.
Det bemærkes, at det følger af databeskyttelseslovens § 1, stk. 3, at regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov. Et lovforslag, der indeholder bestemmelser om behandling af personoplysninger, bør på den baggrund også derfor indeholde bemærkninger om det nærmere forhold til databeskyttelsesforordningens og databeskyttelseslovens bestemmelser om behandling af personoplysninger.
Hvis lovforslaget indeholder bestemmelser, hvorefter behandling af oplysninger alene kan ske, hvis bestemte betingelser er opfyldt – underforstået, at andre behandlingshjemler f.eks. i artikel 6, stk. 1, f.eks. behandling efter litra a om samtykke eller behandling efter litra d af hensyn til den registreredes vitale interesser, ikke kan anvendes som behandlingsgrundlag – bør dette beskrives i bemærkningerne. Se nærmere om muligheden for særregler om lovlig behandling med hjemmel i én af behandlingshjemlerne i betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 153-157 og 232.
Det bemærkes, at direktiv om beskyttelse af personoplysninger, som skal gælde for retshåndhævelsesområdet (retshåndhævelsesdirektivet), også giver mulighed for, at der kan fastsættes nationale særregler inden for direktivets anvendelsesområde. Hvis der i et lovforslag fastsættes bestemmelser inden for anvendelsesområdet af lov om retshåndhævende myndigheders behandling af personoplysningers skal vurderingen af bestemmelserne foretages i forhold til retshåndhævelsesdirektivet.