God incident management sikrer, at organisationen er forberedt på de cyberangreb, der kommer i fremtiden. Læs med og bliv klogere her.
Behandlingshjemler under GDPR - vejen til lovlig databehandling

Behandlingshjemler under GDPR - vejen til lovlig databehandling

Time Reading
5 minutters læsning
GDPR

Behandlingshjemler er fundamentet for lovlig databehandling under GDPR. De udgør de juridiske betingelser, der skal være opfyldt, før personoplysninger må behandles, og uden en gyldig behandlingshjemmel er det ulovligt at indsamle, anvende, videregive eller på anden måde behandle persondata.

GDPR fastlægger seks behandlingshjemler i artikel 6, og mindst én af disse skal være gældende for at retfærdiggøre behandlingen af personoplysninger. 

Identifikation af den korrekte behandlingshjemmel

For at sikre overholdelse af GDPR er det afgørende, at den dataansvarlige identificerer den mest passende behandlingshjemmel før behandlingen af personoplysninger påbegyndes. Valget af behandlingshjemmel skal afspejle formålet med databehandlingen og den kontekst, hvori dataene behandles.

De seks behandlingshjemler er:

  1. Samtykke: Den registrerede har givet sit klare samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. Samtykket skal være frivilligt, specifikt, informeret og utvetydigt.

  2. Kontrakt: Behandlingen er nødvendig for at opfylde en kontrakt, hvor den registrerede er part, eller for at gennemføre foranstaltninger på den registreredes anmodning før indgåelse af en kontrakt.

  3. Juridisk forpligtelse: Behandlingen er nødvendig for at overholde en juridisk forpligtelse, som den dataansvarlige er underlagt.

  4. Vitale interesser: Behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

  5. Offentlig interesse eller udøvelse af officiel myndighed: Behandlingen er nødvendig for at udføre en opgave i offentlighedens interesse eller som led i udøvelsen af officiel myndighed, der er pålagt den dataansvarlige.

  6. Legitime interesser: Behandlingen er nødvendig for de legitime interesser, som den dataansvarlige eller en tredjepart forfølger, medmindre den registreredes interesser eller grundlæggende rettigheder og friheder, som kræver beskyttelse af personoplysninger, går forud for disse interesser.

Det er vigtigt at bemærke, at den dataansvarlige skal kunne dokumentere den valgte behandlingshjemmels gyldighed, og at den registrerede til enhver tid kan anmode om indsigt i dokumentationen. Desuden, hvis den dataansvarlige baserer behandlingen på samtykke, skal den registrerede have mulighed for nemt at trække sit samtykke tilbage.

Dokumentation og ansvarlighed

Under GDPR er det ikke nok blot at vælge en behandlingshjemmel; den dataansvarlige skal også kunne dokumentere, at behandlingen af personoplysninger er lovlig. Dette krav om dokumentation er en del af GDPR's ansvarlighedsprincip, som pålægger den dataansvarlige at føre bevis for overholdelse af forordningens principper for databehandling.

For at opfylde ansvarlighedsprincippet skal den dataansvarlige omhyggeligt registrere alle behandlingsaktiviteter, herunder formålet med behandlingen, hvilke kategorier af personoplysninger der behandles, hvem dataene deles med, og hvilke sikkerhedsforanstaltninger der er truffet, især ved overførsel af data til tredjelande. Desuden skal der i tilfælde af behandlingsaktiviteter, der indebærer en høj risiko for de registreredes rettigheder og friheder, gennemføres en vurdering af databeskyttelseskonsekvenserne – også kendt som en DPIA.

Bedste praksis ved anvendelse af behandlingshjemler

En almindelig fejl i anvendelsen af behandlingshjemler er manglende forståelse for, hvornår og hvordan hver hjemmel skal anvendes. For eksempel kan virksomheder fejlagtigt betragte samtykke som en universalløsning, hvilket ikke kun kan føre til samtykketræthed blandt brugerne, men også underminere databeskyttelsens effektivitet, hvis samtykket ikke er givet under de rette forudsætninger.

Et konkret eksempel kunne være en virksomhed, der systematisk indhenter samtykke til alle former for databehandling, selv i situationer, hvor behandlingen er nødvendig for at opfylde en kontrakt eller overholde en juridisk forpligtelse. Det kan resultere i unødvendig administration og forvirring for både virksomheden og den enkelte, hvis samtykket senere trækkes tilbage.

En anden almindelig fejl er utilstrækkelig dokumentation af behandlingsaktiviteterne. Uden klare optegnelser kan det blive en udfordring at eftervise, at behandlingen af personoplysninger er sket på et lovligt grundlag, hvilket er en central forpligtelse under GDPR.

For at sikre compliance og undgå faldgruberne, er det essentielt at:

  • Foretage en detaljeret vurdering af databehandlingens formål og grundlaget herfor
  • Vælge den mest passende behandlingshjemmel, der matcher den specifikke kontekst og formålet
  • Uddanne relevante medarbejdere i GDPR's principper og den korrekte anvendelse af behandlingshjemler
  • Dokumentere alle behandlingsaktiviteter, herunder beslutningsgrundlaget for valg af behandlingshjemmel

Derudover kan organisationen med fordel implementere en proces for løbende revision og vurdering af databehandlingspraksisser for at sikre overholdelse både nu og i fremtiden.

LÆS OGSÅ: Persondataforordningen: Pligter og rettigheder

 
Logo