Artikel 6 i GDPR
De seks retsgrundlag
Det er vigtigt for virksomheder at kende de seks retsgrundlag, der er indeholdt i GDPR. GDPR er en forkortelse for den generelle forordning om databeskyttelse, som er en EU-forordning. Retsgrundlag er et andet ord for retsgrundlag, og en virksomhed, der behandler personoplysninger, skal understøtte hver behandling på et af retsgrundlagene.
De seks retsgrundlag i GDPR
Hvis en behandling af personoplysninger finder sted uden støtte fra et retsgrundlag, er behandlingen ulovlig og udgør en overtrædelse af GDPR. Derudover skal virksomheder overholde de øvrige dele af GDPR, såsom behandling af personoplysninger i overensstemmelse med de syv databeskyttelsesprincipper.
Følgende er et sammendrag af de seks retsgrundlag i EU’s generelle forordning om databeskyttelse:
Samtykke i henhold til artikel 6, stk. 1, litra a), i GDPR
Samtykke er et relativt almindeligt retsgrundlag for virksomheder til at støtte behandlingen af personoplysninger. Det er dog ikke altid hensigtsmæssigt eller tilladt at bruge dette retsgrundlag til behandling af personoplysninger.
Det er derfor godt, at virksomhederne først begynder med at analysere, om et andet retsgrundlag, f.eks. en kontrakt med den registrerede eller en legitim interesse, er mere hensigtsmæssigt. Samtykke betyder, at en person accepterer, at vedkommendes personoplysninger behandles til flere eller et specifikt formål.
Bemærk venligst, at et givet samtykke bør kunne tilbagekaldes af den enkelte lige så let, som det var at give samtykket. Hvis samtykket trækkes tilbage, ophører behandlingen af personoplysningerne på grundlag af samtykket. Hvis det er for vanskeligt at trække samtykket tilbage, er samtykket ikke gyldigt.
Når der er ulige magtforhold
I de fleste tilfælde er det ikke tilladt at behandle personoplysninger på grundlag af samtykke, hvis der er ulige magtforhold mellem parterne. Dette gælder, når den registrerede er den svage part i forhold til den dataansvarlige, der ønsker at foretage behandlingen af personoplysningerne. For eksempel mellem en arbejdsgiver og en medarbejder eller mellem en myndighed og borgere.
Grunden hertil er, at det er vanskeligt at bevise og sikre, at samtykket er givet frivilligt. I disse situationer, hvor der er et ulige magtforhold, må den registrerede ikke turde sige nej til behandlingen af personoplysningerne. Samtykke er derfor ikke et passende retsgrundlag at anvende i tilfælde af ulige magtforhold. I stedet kan retsgrundlaget for aftaler med registrerede eller legitime interesser være mere hensigtsmæssigt at anvende.
Passivt samtykke er forbudt
For at et samtykke skal være gyldigt i henhold til GDPR, skal det gives aktivt. Samtykket skal desuden være frivilligt for at være gyldigt. Med andre ord må virksomheder f.eks. ikke have et afkrydset samtykkefelt på deres hjemmeside, da det ikke betragtes som et aktivt samtykke givet af den pågældende person.
Kontrakter med registrerede i henhold til artikel 6, stk. 1, litra b), i GDPR
En virksomhed, der driver en e-handelsplatform og sælger tøj, der leveres til kundens hjem, skal behandle kundens personoplysninger, såsom navn og adresse, for at kunne udføre leveringen. Med andre ord udføres behandlingen for at virksomheden kan opfylde sine forpligtelser i henhold til den kontrakt, der er indgået mellem virksomheden og kunden.
Eksempler på fælles aftaler med registrerede
E-handel
En virksomhed, der driver en e-handelsplatform og sælger tøj, der leveres til kundens hjem, skal behandle kundens personoplysninger, såsom navn og adresse, for at kunne udføre leveringen. Med andre ord udføres behandlingen for at virksomheden kan opfylde sine forpligtelser i henhold til den kontrakt, der er indgået mellem virksomheden og kunden.
Medarbejdernes personoplysninger
Et andet eksempel er, når en arbejdsgiver behandler medarbejderens navn og bankkontooplysninger for at kunne foretage lønudbetalingen. En del af arbejdsgiverens forpligtelser i henhold til ansættelseskontrakten er at betale løn for det arbejde, der udføres for arbejdstageren.
Bemærk venligst, at virksomheder ikke må behandle flere personoplysninger, end det er nødvendigt til det formål, hvortil de blev indsamlet. Hvis virksomheden f.eks. ønsker at behandle de samme og/eller flere personoplysninger for også at kunne analysere kundeadfærd, er der tale om en særskilt behandling af personoplysninger. I sådanne tilfælde skal virksomheden også have et retsgrundlag for denne behandling, og kontrakter med den registrerede er ikke hensigtsmæssige i dette tilfælde. Dette skyldes, at denne behandling ikke er nødvendig for opfyldelsen eller indgåelsen af en kontrakt med den registrerede. I stedet kan samtykke i sådanne tilfælde være et passende retsgrundlag at bruge.
Retlig forpligtelse i henhold til artikel 6, stk. 1, litra c), i GDPR
I nogle tilfælde kan der være andre love eller bestemmelser, der kræver, at en virksomhed, der er den dataansvarlige, behandler personoplysninger. Hvis det er nødvendigt for Selskabet at behandle personoplysninger for at overholde en retlig forpligtelse, som Selskabet er underlagt, udføres behandlingen på grundlag af en retlig forpligtelse som retsgrundlag.
Eksempler på juridiske forpligtelser for virksomheder:
- Føre fortegnelser over deres forretningstransaktioner
- Indberet skatter og socialsikringsbidrag til skattemyndighederne.
- Håndtere klager og spørgsmål vedrørende fortrydelsesretten i overensstemmelse med gældende obligatoriske forbrugerbeskyttelseslove.
- Indberet hændelser af forskellig art til de relevante myndigheder.
Det betyder, at virksomheden kan behandle de personoplysninger, der er nødvendige for, at virksomheden kan overholde lovens eller lovgivningens krav. Derfor er det vigtigt for virksomheder at vide, hvilke specifikke love og regler der gælder for virksomhedens drift. Der kan være branchespecifikke love og bestemmelser, der skal tages i betragtning, ud over den mere generelle lovgivning, der gælder for de fleste virksomheder.
Beskyttelse af grundlæggende interesser i henhold til artikel 6, stk. 1, litra d), i GDPR
Hvis behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, er den lovlig.
Betragtning 46 i databeskyttelsesforordningen indeholder et eksempel på en grundlæggende interesse. Hvis behandling af personoplysninger er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, bør behandlingen betragtes som lovlig. Desuden er behandling af særlige kategorier af personoplysninger (også kendt som følsomme personoplysninger) tilladt i disse tilfælde. Eksempler på følsomme personoplysninger er oplysninger om den registreredes helbred og religiøse overbevisning.
I tilfælde, hvor behandlingen af personoplysninger er nødvendig for at redde liv, er det derfor tilladt at behandle personoplysningerne. Det er imidlertid vigtigt at bemærke, at det også er klart, at behandling af personoplysninger på grundlag af en anden fysisk persons grundlæggende interesser kun bør finde sted, hvis behandlingen ikke klart kan foretages på grundlag af et andet retsgrundlag.
Nødvendigt for at redde liv
Et eksempel på, hvornår det kan være nødvendigt at behandle personoplysninger for at redde liv, er, hvis en person ender i en alvorlig bilulykke og er bevidstløs, når vedkommende ankommer til hospitalet. I sådanne tilfælde kan det være nødvendigt for hospitalet at finde ud af, f.eks. hvilken blodtype personen har, hvilket er personoplysninger. Det er endda følsomme personoplysninger, når det drejer sig om sundhedsdata. Bemærk venligst, at brugen af dette retsgrundlag ikke er tilladt, hvis en person er klar over det. Hvis en person går til en læge for et planlagt besøg, samtykke eller opgave af offentlig interesse er i stedet mere hensigtsmæssigt at bruge. Please note, a controller may not use this legal basis if the data subject is aware. If a person goes to a doctor for an appointment, the legal basis consent or a task of public interest is more appropriate to use.
Udøvelse af offentlig myndighed og opgaver i samfundets interesse i henhold til artikel 6, stk. 1, litra e), i GDPR
Behandling af personoplysninger er lovlig, hvis det er nødvendigt for at:
- Udføre en opgave i samfundets interesse, eller
- Som henhører under offentlig myndighedsudøvelse, som den registeransvarlige har fået pålagt.
Det er primært offentlige myndigheder, kommuner og staten, der behandler personoplysninger på grundlag af dette retsgrundlag. Den gælder dog også for visse private parters behandling af personoplysninger. For eksempel en virksomhed, der udfører skoleaktiviteter eller virksomheder inden for sundhedspleje.
Udøvelse af offentlig myndighed
Staten kan overlade det til en virksomhed at bestemme over landets borgere. Dette kan indebære, at der træffes afgørelse om visse rettigheder eller forpligtelser. Når lærere på en kommunal skole giver karakterer til deres elever, er det et eksempel på udøvelse af offentlig myndighed. Det samme gælder, når en myndighed udsteder byggetilladelser.
Opgaver af almen interesse
Både private aktører og offentlige myndigheder kan udføre opgaver, der er i offentlighedens interesse. F.eks. opgaven med at drive offentlig transport, lufttrafik, sundhedspleje eller privat skolegang.
Hvis en virksomhed ikke er helt sikker på, om den rent faktisk udfører en opgave i samfundets interesse, bør virksomheden overveje et andet retsgrundlag for behandlingen af personoplysningerne. Dette retsgrundlag vil f.eks. blive anvendt af en virksomhed, der opbevarer data i offentlighedens interesse og behandler personoplysninger til arkiveringsformål. Dette er forudsat, at der er en retlig forpligtelse til at opbevare dataene, f.eks. for at kunne give adgang til data af varig værdi for offentlighedens interesse.
Legitim interesse i henhold til artikel 6, stk. 1, litra f) i GDPR
Hvis en virksomhed eller en tredjepart har en legitim interesse, kan personoplysninger, der er nødvendige for at opfylde formålet og den pågældende legitime interesse, behandles. Dette gælder dog kun, hvis den registreredes grundlæggende frihedsrettigheder og rettigheder og interesser ikke har forrang og kræver beskyttelse af personoplysninger.
Bemærk venligst, at myndighederne ikke kan anvende retsgrundlaget for behandling af personoplysninger.
Desuden er det tilladt for registrerede at gøre indsigelse mod behandling af personoplysninger, der finder sted efter en interesseafvejning, men dette betyder ikke automatisk, at virksomheden skal ophøre med behandlingen. I sådanne tilfælde skal virksomheden dog foretage en ny analyse og kunne påvise, at dens behov og interesser stadig vejer tungere end den registreredes.
Udføre en interesseafvejning og dokumentere vurderingen
For at en virksomhed kan afgøre, om den har en legitim interesse eller ej, skal virksomheden foretage en vurdering af den legitime interesse. Det er vigtigt, at den udførte analyse dokumenteres skriftligt.
Eksempler på, hvornår en virksomhed kan anses for at have en legitim interesse, er, hvis virksomheden forsøger at forhindre svig, eller i tilfælde af direkte markedsføring via e-mails til tidligere kunder.
Hvis virksomheden imidlertid i sin interesseafvejning konkluderer, at den registreredes grundlæggende frihedsrettigheder og rettigheder og interesser har forrang og kræver beskyttelse af personoplysningerne, må virksomheden ikke behandle personoplysningerne til det tilsigtede formål på grundlag af dette retsgrundlag.
Noget, der er vigtigt at huske på, er, at der skal foretages en interesseafvejning, inden behandlingen af personoplysninger foretages på grundlag af dette retsgrundlag.
Flere oplysninger om GDPR
Der er syv databeskyttelsesprincipper
Det er vigtigt for en virksomhed at kende både de seks retsgrundlag for GDPR og de syv databeskyttelsesprincipper. Databeskyttelsesforordningens artikel 5 fastsætter principperne. På denne hjemmeside kan du finde oplysninger om hvert databeskyttelsesprincip, der er reguleret i henhold til GDPR. De er grundlaget for GDPR, og alle virksomheder skal overholde principperne, når de behandler personoplysninger.