Denne tjekliste vedrører muligheden for at fastsætte regler for lovlig behandling af personoplysninger i overensstemmelse med forordningens artikel 6. Tjeklisten medtager således ikke de andre og mere specifikke krav, som de nationale myndigheder også skal være opmærksomme på, som eksempelvis den registreredes rettigheder og begrænsninger heraf, jf. artikel 23, artikel 26 om fælles dataansvarlige og artikel 28 om databehandler.
Ifølge forordningens artikel 6, stk. 2, kan medlemsstaterne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og e. Det følger bl.a. af artikel 6, stk. 1, litra c og e, at behandling af personoplysninger kun er lovlig, hvis behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Når myndigheder overvejer at udarbejde nationale særregler efter det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2 og 3, med henblik på overholdelse af artikel 6, stk. 1, litra c og e, anbefales følgende punkter sammenfattende iagttaget i forhold til vurderingen af, om der er hjemmel til behandlingen:
- Det kan indledningsvis overvejes, om der overhovedet ønskes fastsat nationale regler, eller om behandling skal ske alene efter behandlingsreglerne i databeskyttelsesforordningen. Forordningens behandlingshjemmel i artikel 6, stk. 1, litra e, kan således i mange tilfælde benyttes som direkte hjemmel til behandlingen, hvilket artikel 6, stk. 1, litra c, også kan, så længe der er en retlig forpligtelse, der fremgår af EU-retten eller national ret. I det omfang, det foreslås at indføre nationale særregler, der har erhvervsøkonomiske konsekvenser for danske virksomheder, skal der tages stilling til, om principperne for implementering af erhvervsrettet EU-regulering i Danmark efterleves. Hvis principperne ikke efterleves, skal der forelægges en sag til godkendelse for erhvervsministeren, hvis der er tale om overimplementering uden væsentlige erhvervsøkonomiske konsekvenser, og for regeringens økonomiudvalg, hvis der er tale om overimplementering med væsentlige erhvervsøkonomiske konsekvenser. Der henvises om principperne for implementering af erhvervsrettet EU-regulering i øvrigt til pkt. 2.14.7.2 og om forelæggelse for Erhvervsministeriet til pkt. 6.1.2. I forbindelse med udarbejdelsen af en lov, der rummer mulighed for f.eks. i en bekendtgørelse at fastsætte regler om behandling af personoplysninger, vil det dog ofte allerede være blevet overvejet, om der overhovedet ønskes fastsat nationale regler, eller om behandling fremover skal ske alene efter behandlingsreglerne i databeskyttelsesforordningen. Sådanne overvejelser vil myndigheder således ikke skulle gøre sig i samme omfang ved udarbejdelsen af bekendtgørelsen.
- Hvis det i bemyndigelsesbestemmelsen er vurderet nødvendigt eller ønskeligt, skal der findes hjemmel til de nationale særregler i forordningens artikel 6, stk. 1, litra c, jf. artikel 6, stk. 2 og 3, hvorefter behandlingen skal være nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, eller der skal findes hjemmel til den nationale særregel i forordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 2 og 3, hvorefter behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
- Dernæst skal det vurderes, hvorvidt særreglerne indfører mere specifikke bestemmelser for at tilpasse anvendelsen ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling i overensstemmelse med forordningens artikel 6, stk. 2.
- Endvidere skal der sørges for specifikt vedrørende en retlig forpligtelse, at formålet med behandlingen skal være fastlagt i det nationale retsgrundlag, jf. artikel 6, stk. 3, 2. pkt. Dette krav må antages at kunne opfyldes ved, at formålet med behandlingen kan udledes af pågældende bemyndigelsesbestemmelse og dens forarbejder (hvis der er tale om en bekendtgørelse) eller den administrative forskrift, under forudsætning af at behandlingen rent faktisk er »nødvendig«. Specifikt vedrørende behandling, der er omhandlet i artikel 6, stk. 1, litra e – det vil sige af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse – skal der sørges for, at behandlingen skal være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, jf. artikel 6, stk. 3, 2. pkt. Det må også her være tilstrækkeligt for opfyldelse af dette nødvendighedskrav, at det kan udledes af den pågældende bemyndigelsesbestemmelse og dens forarbejder (hvis der er tale om en bekendtgørelse) eller den administrative forskrift.
- Derudover skal det iagttages, at de nationale særregler skal være proportionale, jf. forordningens artikel 6, stk. 3, sidste pkt., og artikel 5, stk. 1, litra c. Endvidere skal reglerne opfylde et formål i samfundets interesse, hvilket må antages at være opfyldt allerede i og med, at Folketinget vedtager et lovforslag eller en bemyndigelse i en lov, jf. forordningens artikel 6, stk. 3, sidste pkt. Samtidig skal reglerne indrettes, så behandlingen kan ske i overensstemmelse med principperne for behandling i forordningens artikel 5, hvilket eksempelvis betyder, at reglerne ikke må medføre, at der sker en opbevaring i strid med artikel 5, stk. 1, litra e.
- Endelig skal det sikres, at der er den rette balance i forhold til den fri bevægelighed for personoplysninger, jf. forordningens artikel 1.