Page contents Page contents Svar Jeres virksomhed/organisation må kun behandle personoplysninger under de følgende omstændigheder: med samtykke fra de berørte personer når der foreligger en kontraktlig forpligtelse (en kontrakt mellem jeres virksomhed/organisation og en kunde) for at opfylde en retlig forpligtelse (i henhold til EU-ret eller national ret) når behandling er nødvendig for at udføre en opgave af samfundsinteresse ( i henhold til EU-ret eller national ret) for at beskytte en enkeltpersons vitale interesser i forbindelse med jeres virksomheds/organisations lovlige interesser, men kun efter at have kontrolleret, at det ikke i væsentlig grad påvirker rettigheder og frihedsrettigheder for den person, hvis oplysninger behandles. Hvis personens rettigheder tilsidesætter jeres interesser, må oplysningerne ikke behandles med lovlige interesser som begrundelse. Vurderingen om, hvorvidt jeres virksomheds/organisations lovlige interesse i behandling tilsidesætter den berørte persons lovlige interesse, afhænger af sagens omstændigheder. Eksempler SamtykkeJeres virksomhed/organisation tilbyder en musikapp og beder om brugernes samtykke for at behandle deres musiksmag, så I kan komme med skræddersyede forslag til sange og koncerter. Kontraktlig forpligtelseJeres virksomhed/organisation sælger varer på nettet. De oplysninger, der er nødvendige for at kunne iværksætte tiltag, må behandles, når den enkelte beder om det, inden der indgås en kontrakt og med henblik på at opfylde kontrakten. Derfor må I behandle navn, leveringsadresse, kreditkortnummer (ved betaling med kort) osv. Retlig forpligtelseJeres virksomhed har ansatte. I forbindelse med social sikring har I ifølge loven pligt til at levere personoplysninger (f.eks. ugentlig indkomst for jeres ansatte) til de relevante myndigheder. SamfundsinteresseEksempel: En brancheforening som for eksempel et advokatforbund eller en sammenslutning af sundhedspersoner, som har officiel bemyndigelse til det, må gennemføre disciplinærsager mod nogle af deres medlemmer. En persons vitale interesserEt hospital, som behandler en patient efter et alvorligt trafikuheld. I behøver ikke patientens samtykke for at lede efter identifikationspapirer for at kontrollere, om vedkommende findes i hospitalets database, så I kan læse en eventuel eksisterende journal eller kontakte nærmeste pårørende. Jeres organisations lovlige interesserJeres virksomhed/organisation overvåger de ansattes IT-udstyr for at sikre netværkssikkerheden. Jeres virksomhed/organisation må lovligt behandle personoplysninger til dette formål, men kun hvis den mindst indgribende metode vælges, for så vidt angår jeres ansattes ret til beskyttelse af privatlivets fred og databeskyttelsesrettigheder, for eksempel ved at begrænse adgangen til visse websteder (bemærk, at dette ikke må gøres i EU-medlemsstater, hvor den nationale lovgivning har strengere bestemmelser vedrørende behandling i forbindelse med ansættelsesforhold). Referencer Artikel 6; betragtning 40, 41, 42, 43, 44, 45, 46, 47, 48, 49 Artikel 29-gruppens udtalelse 06/2014 om den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF Examples Consent Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. Contractual obligation Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc. Legal obligation You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority. Public interest Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members. Vital interests of a person A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin. Your organisation’s legitimate interests Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context). References Article 6 and Recitals (40) to (49) of the GDPR Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E
