Hvornår må vi behandle personoplysninger?

Svar

Jeres virksomhed/organisation må kun behandle personoplysninger under de følgende omstændigheder:

• med samtykke fra de berørte personer
• når der foreligger en kontraktlig forpligtelse (en kontrakt mellem jeres virksomhed/organisation og en kunde)
• for at opfylde en retlig forpligtelse (i henhold til EU-ret eller national ret)
• når behandling er nødvendig for at udføre en opgave af samfundsinteresse ( i henhold til EU-ret eller national ret)
• for at beskytte en enkeltpersons vitale interesser
• i forbindelse med jeres virksomheds/organisations lovlige interesser, men kun efter at have kontrolleret, at det ikke i væsentlig grad påvirker rettigheder og frihedsrettigheder for den person, hvis oplysninger behandles. Hvis personens rettigheder tilsidesætter jeres interesser, må oplysningerne ikke behandles med lovlige interesser som begrundelse. Vurderingen om, hvorvidt jeres virksomheds/organisations  lovlige interesse i behandling tilsidesætter den berørte persons lovlige interesse, afhænger af sagens omstændigheder.

Eksempler

Samtykke
Jeres virksomhed/organisation tilbyder en musikapp og beder om brugernes samtykke for at behandle deres musiksmag, så I kan komme med skræddersyede forslag til sange og koncerter.

Kontraktlig forpligtelse
Jeres virksomhed/organisation sælger varer på nettet. De oplysninger, der er nødvendige for at kunne iværksætte tiltag, må behandles, når den enkelte beder om det, inden der indgås en kontrakt og med henblik på at opfylde kontrakten. Derfor må I behandle navn, leveringsadresse, kreditkortnummer (ved betaling med kort) osv.

Retlig forpligtelse
Jeres virksomhed har ansatte. I forbindelse med social sikring har I ifølge loven pligt til at levere personoplysninger (f.eks. ugentlig indkomst for jeres ansatte) til de relevante myndigheder.

Samfundsinteresse
Eksempel: En brancheforening som for eksempel et advokatforbund eller en sammenslutning af sundhedspersoner, som har officiel bemyndigelse til det, må gennemføre disciplinærsager mod nogle af deres medlemmer.

En persons vitale interesser
Et hospital, som behandler en patient efter et alvorligt trafikuheld. I behøver ikke patientens samtykke for at lede efter identifikationspapirer for at kontrollere, om vedkommende findes i hospitalets database, så I kan læse en eventuel eksisterende journal eller kontakte nærmeste pårørende.

Jeres organisations lovlige interesser
Jeres virksomhed/organisation overvåger de ansattes IT-udstyr for at sikre netværkssikkerheden. Jeres virksomhed/organisation må lovligt behandle personoplysninger til dette formål, men kun hvis den mindst indgribende metode vælges, for så vidt angår jeres ansattes ret til beskyttelse af privatlivets fred og databeskyttelsesrettigheder, for eksempel ved at begrænse adgangen til visse websteder (bemærk, at dette ikke må gøres i EU-medlemsstater, hvor den nationale lovgivning har strengere bestemmelser vedrørende behandling i forbindelse med ansættelsesforhold).

Referencer

• Artikel 6; betragtning 40, 41, 42, 43, 44, 45, 46, 47, 48, 49
• Artikel 29-gruppens udtalelse 06/2014 om den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E