GDPR - Oplysninger
Personoplysninger vedrørende straffedomme
I henhold til den generelle regel i artikel 10 i GDPR er det forbudt for private parter at behandle personoplysninger vedrørende straffedomme og lovovertrædelser. Det kan dog være tilladt at behandle personoplysninger vedrørende straffedomme og lovovertrædelser i visse tilfælde ved hjælp af gældende undtagelser fra hovedreglen.
Eksempler på personoplysninger vedrørende straffedomme og lovovertrædelser
Oplysninger, som en person har:
- Begået en forbrydelse.
- Konkret mistænkt for en forbrydelse.
- En dom afsagt af en domstol for en straffesag
- Har været udsat for kriminel tvang. F.eks. en beslaglæggelse, eller hvis personen er blevet tilbageholdt.
Mistanke om en forbrydelse kan udgøre en kriminel oplysning
Hvis der er oplysninger om en mistanke om, at en person har begået en forbrydelse, kan dette udgøre strafferetlige oplysninger, selv om der ikke er indledt nogen retssag. De pågældende data skal dog opnå en vis grad af konkretitet. Hvis oplysningerne vedrører en bestemt kategori af kriminalitet eller en bestemt forbrydelse, anses der for at være opnået en tilstrækkelig konkretiseringsgrad. Desuden kan en tilstrækkelig grad af konkretitet anses for at være opnået, hvis de aggregerede data svarer til de objektive elementer i en personaleregel. Noget, der også indikerer, at det er kriminelle data, er, om formålet med behandlingen er at behandle kriminelle data, enten helt eller delvist.
Lovligheden af behandlingen af personoplysninger er overladt til medlemsstaternes skøn.
I henhold til den generelle regel i databeskyttelsesforordningens artikel 10 er det forbudt for private parter at behandle personoplysninger vedrørende straffedomme og lovovertrædelser. Hver medlemsstat kan dog frit beslutte, om den vil tillade behandling af sådanne oplysninger. Bemærk, at forbuddet ikke gælder for behandling, der udføres af retshåndhævende myndigheder, da det er reguleret i et andet direktiv.
Private parter kan behandle personoplysninger vedrørende straffedomme og lovovertrædelser i visse tilfælde
I henhold til visse undtagelser fra den generelle regel kan private parter behandle personoplysninger vedrørende straffedomme og lovovertrædelser. Følgende er eksempler på sådanne situationer.
Hvis det er nødvendigt for at forsvare, hævde eller etablere et retskrav
Eksempel: Hvis der er en konkret grund til, at et forsikringsselskab har mistanke om, at der har været forsikringssvindel, kan forsikringsselskabet behandle oplysningerne med henblik på at fastslå et retskrav ved en domstol.
Hvis behandlingen er reguleret af en anden lov eller forskrift (retlig forpligtelse)
Eksempel: Banker skal både undersøge og indberette, hvis de har mistanke om, at en af deres kunder begår hvidvaskning af penge. Bankerne kan i sådanne tilfælde behandle de personoplysninger, der er nødvendige for at undersøge og indberette mistanke om hvidvask af penge.
Private parter kan anmode om at behandle personoplysninger vedrørende straffedomme og lovovertrædelser
Ud over de nationale databeskyttelsesmyndigheders mulighed for at beslutte, hvilke undtagelser der gælder for forbuddet mod behandling af personoplysninger vedrørende overtrædelser af lovgivningen, der er generelle, kan de også træffe afgørelser i individuelle sager. Med andre ord kan en virksomhed indgive en ansøgning til den nationale databeskyttelsesmyndighed om at behandle personoplysningerne. Dette betyder dog ikke automatisk, at databeskyttelsesmyndigheden godkender behandlingen.
Gennemførelse af en konsekvensanalyse
En virksomhed, der ønsker at anmode den nationale databeskyttelsesmyndighed om at behandle personoplysninger vedrørende straffedomme og lovovertrædelser, behøver ikke at foretage en konsekvensanalyse, før den fremsætter anmodningen. Det kan dog være nødvendigt for virksomheden at foretage en konsekvensanalyse, inden behandlingen påbegyndes. Det vil sige, efter at de har fået tilladelse til at behandle personoplysninger vedrørende straffedomme og lovovertrædelser.
Samtykke er ikke et gyldigt retsgrundlag
Personoplysninger vedrørende straffedomme og lovovertrædelser udgør personoplysninger, der er følsomme over for privatlivets fred. Der er dog ikke tale om følsomme personoplysninger i henhold til databeskyttelsesforordningens artikel 9. Behandling af følsomme personoplysninger kan tillades, hvis virksomheden indhenter udtrykkeligt samtykke til behandlingen af den pågældende registrerede. Dette gælder dog ikke for behandling af personoplysninger vedrørende straffedomme og lovovertrædelser. Det er ikke tilladt at foretage behandling af personoplysninger på grundlag af retsgrundlaget samtykke.
Læs mere om GDPR
Personlige identifikationsnumre og koordineringsnumre udgør en anden gruppe af personoplysninger, der er følsomme over for privatlivets fred
Data vedrørende straffedomme og lovovertrædelser og følsomme personoplysninger er underlagt særlige bestemmelser i GDPR. Det er socialsikringsnummeret dog ikke. Bemærk dog, at der normalt er andre love og bestemmelser i de respektive EU-lande, der begrænser behandlingen af personlige identifikationsnumre. I Sverige er personnumre f.eks. en offentlig opgave, som alle har adgang til. I modsætning til Finland, hvor kun den person, som personnummeret tilhører, kan få fat i det.