Gå til hovedindholdet
Europa-Kommissionens logo
dada

Under hvilke betingelser må min virksomhed/organisation behandle følsomme oplysninger?

Svar

Jeres virksomhed/organisation må kun behandle følsomme oplysninger, en af nedenstående betingelser er opfyldt:

  • Det udtrykkelige samtykke fra enkeltpersonen er indhentet (denne mulighed kan i visse tilfælde være ulovlig).
  • Det følger af EU-ret eller national ret eller en overenskomst at jeres virksomhed/organisation har pligt til at behandle oplysningerne for at overholde jeres forpligtelser og rettigheder samt enkeltpersonens forpligtelser og rettigheder på områderne ansættelse, social sikring og social beskyttelse.
  • Personens eller en anden fysisk persons vitale interesser er på spil i tilfælde, hvor personen fysisk eller juridisk ikke er i stand til at give samtykke.
  • I er en stiftelse, sammenslutning eller anden non-profit-organisation, hvis formål er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som behandler oplysninger om medlemmer eller om personer, der regelmæssigt er i kontakt med  organisationen.
  • Personoplysningerne er tydeligvis offentliggjort af enkeltpersonen.
  • Oplysningerne, er påkrævet for at retskrav kan fastlægges, gøres gældende eller forsvares.
  • Oplysningerne behandles  af årsager, der omhandler væsentlig samfundsinteresse på baggrund af EU-ret eller national ret.
  • Oplysningerne behandles med følgende formål: forebyggende medicin eller arbejdsmedicin, vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-ret eller national ret eller i henhold til en kontrakt som en sundhedsperson.
  • Oplysningerne behandles af årsager, der omhandler samfundsinteresser på folkesundhedsområdet på grundlag af EU-ret eller national ret.
  • Oplysningerne  behandles til arkivformål, til videnskabelige eller historiske forskningsformål eller til statistiske formål på grundlag af EU-ret eller national ret.

National lovgivning kan indføre yderligere betingelser vedrørende behandling af genetiske data, biometriske data eller helbredsoplysninger. Forhør jer hos den nationale databeskyttelsesmyndighed.

Eksempel

I må behandle følsomme oplysninger

En læge har et antal patienter i sin konsultation. Han logfører patienternes aftaler i en database, som indeholder felter såsom patientens navn og efternavn, en beskrivelse af symptomerne samt ordineret medicin. Dette betragtes som  følsomme oplysninger. Behandling af helbredsoplysninger i konsultationen er tilladt i henhold til databeskyttelsesloven, da det er nødvendigt for at kunne behandle personen, og udføres under lægens ansvar, og lægen har tavshedspligt.

I må ikke behandle følsomme oplysninger

Jeres virksomhed sælger kjoler på nettet. For at kunne skræddersy tjenesteydelserne til kundernes interesser beder I dem om at give jer oplysninger om størrelse, foretrukne farver, betalingsmetode, navn og adresse, så produkterne kan leveres. Desuden beder jeres virksomhed om kundernes politiske ståsted. De fleste oplysninger skal bruges til at opfylde jeres del af kontrakten. Det er dog ikke nødvendigt at kende kundernes politiske ståsted for at sy og levere kjolerne. Jeres virksomhed må ikke bede om disse oplysninger i henhold til denne kontrakt.

Referencer

Example

You can process sensitive data

A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.

You can’t process sensitive data

Your  company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.

References