Behandlingsgrundlag for personoplysninger

Ismail Özkan
By: Ismail Özkan GDPR | 7 december

Mange mennesker tror, at samtykke er det eneste rette juridiske grundlag for behandling af personoplysninger. Men dette er ikke tilfældet. Et juridisk grundlag kan også være legitime interesser eller en kontrakt. Men hvor meget viden om forskellige slags juridiske grundlag kan du forvente at dine medarbejdere kender til? Dette blogindlæg tager dig igennem emnet omkring juridiske grundlag for behandling af personoplysninger. Du får også eksempler på, hvad dine medarbejdere skal vide og gøre i deres daglige arbejdsliv, når de falder over udfordringer, i forbindelse med behandling af personoplysninger.

Uanset størrelse og type behandler næsten alle organisationer personoplysninger på en eller anden måde. Dette skyldes, at persondata er overalt og kan være alt fra et navn, adresse, hårfarve eller internet-browsinghistorie, til politiske synspunkter. Dybest set alt, hvad der kan føre til en bestemt person.

Det betyder, at der er mange berøringspunkter, hvor din organisation muligvis skal behandle persondata. Husk, at det er din organisation der står med ansvaret, og at du skal sørge for, at I har et juridisk grundlag for behandling af personoplysninger i enhver situation.

Du har muligvis allerede implementeret en god praksis i din organisation, for at overholde forskellige regler for beskyttelse af personoplysninger og data i relation til Persondataforordningen (GDPR). Dine advokater har muligvis viden om lovgivning omkring databehandling, og du har måske endda uddannet dine medarbejdere i håndtering af personlige data.

Selvom dit team er uddannet i rutinemæssigt at overholde GDPR i deres daglige arbejde, sker det dog ofte at ens team er i tvivl om, hvordan de skal håndtere personoplysninger i ukendte situationer.

Næsten alle behandler persondata

Persondata kommer i kontakt med de fleste mennesker bag computeren, og din organisation sikrede sandsynligvis et juridisk grundlag for behandling af disse. Dette er normalt tilfældet for rutinemæssige opgaver, såsom at få kundernes samtykke til at tilmelde sig dit nyhedsbrev eller sørge for, at du har et juridisk grundlag for behandling af nødvendige personoplysninger på dine medarbejdere gennem deres ansættelseskontrakter.

Og det er fantastisk, men …

Dette gælder normalt kun de personer i teamet, der behandler personoplysninger som en del af deres rutinemæssige opgaver. De er vant til det, og de ved, hvad de skal gøre. Men da personoplysninger er overalt, opstår der hele tiden nye situationer, hvor nogen har brug for at behandle personoplysninger, hvor de muligvis ikke ved hvordan de får et juridisk behandlingsgrundlag, eller at de overhovedet skal gøre det.

Ukendte situationer opstår hele tiden

Som nævnt opstår problemet ofte, når dine teammedlemmer befinder sig i nye og ukendte situationer. Dette kan f.eks. være, når de har en ny idé om et projekt, eller når en medarbejder beskæftiger sig med en opgave, der er et engangsinitiativ.

Sig for eksempel, at din virksomhed ønsker at holde en julefest for teamet og også gerne vil invitere deres familier med. En af dine medarbejdere får til opgave at organisere begivenheden. Denne person skal derefter indsamle oplysninger om, hvem der vil deltage i arrangementet med deres familie, deres navne, og hvis de har nogen fødevarebegrænsninger, som at de f.eks. er allergiske overfor nødder eller er vegetarer. Det skal køkkenet nemlig vide for at lave en menu. Der er derfor involveret meget personlig data, og som den dataansvarlige skal din organisation sikre, at der er et juridisk grundlag for at gøre det.

Andre eksempler på ukendte situationer kan være:

Online talentpool: Din HR-afdeling ønsker at oprette en ny talentpool, hvor kandidater der er interesserede i at arbejde for din virksomhed, kan registrere deres CV så HR-afdelingen derefter kan sende relevante stillinger til dem i fremtiden. Din HR-afdeling synes, det er en god idé at se, hvem der er interesseret i din virksomhed, og at have en pulje af mulige kandidater, til når der er ledige stillinger.

 

Instagram-konkurrence: Din marketingafdeling kom med en god idé til at øge jeres online tilstedeværelse. For at få så meget interaktion som muligt ønsker de at være vært for en lodtrækningskonkurrence på Instagram. Alt hvad kunderne skal gøre, er at like jeres post og skrive en kommentar med hvad de bedst kan lide ved jeres produkter. Derefter trækker I en vinder i slutningen af måneden, som får en kupon fra jeres virksomhed.

 

Leverandørkontakter: Jeres virksomhed vokser, og der er nu mere end en person i virksomheden, som er ansvarlig for at have kontakt med jeres leverandører. For at gøre det lettere at se, hvem der er kontaktperson for hver af leverandørerne, beslutter I at oprette en delt Excel-fil, der viser en oversigt over leverandørerne, kontaktpersonen til hver leverandør, hvor deres titel, e-mailadresse og telefonnummer indgår.

Som eksemplerne viser, er det ikke kun den juridiske afdeling i din organisation, der skal overveje det juridiske grundlag for behandling af personoplysninger. Det meste af dit team kommer til at behandle personoplysninger, og det er afgørende, at der er et juridisk grundlag for dette.

 

Typer af juridiske grundlag for behandling af persondata

En type retsgrundlag til behandling af personoplysninger, som alle sandsynligvis er opmærksomme på, er samtykke. Når du tilmelder dig et online-nyhedsbrev på et websted, bliver du bedt om at acceptere, at virksomheden kan behandle og gemme dine persondata, såsom din e-mail-adresse og navn. Du giver normalt dette samtykke ved at markere et felt, der udtrykkeligt siger at du accepterer, at webstedet kan behandle dine oplysninger.

Vi er alle meget bekendt med at give samtykke til behandling af personoplysninger. Imidlertid er samtykke kun ét blandt mange typer af juridisk grundlag for behandling af personoplysninger. I det følgende præsenterer vi nogle typer af juridiske grunde til behandling af personoplysninger sammen med nogle eksempler.

blogpost-materiale-legalgrounds-DK

Disse er blot nogle af mange typer af juridiske grundlag for behandling af personoplysninger. Hvilken type der skal bruges hvor afhænger af den specifikke situation, og der er ingen enkelt bedste type eller en one-size-fits-all til alle typer af tænkning. Derfor er det op til jeres virksomhed at finde ud af hvilket juridisk grundlag der gør sig gældende, afhængigt af den specifikke kontekst.

Dit team behøver ikke at være juridiske eksperter

Selvom de fleste teammedlemmer behandler data, er det nok at de er opmærksomme på det juridiske grundlag, og at de er sikre på, at de følger reglerne. Dette betyder ikke at alle skal være eksperter i GDPR og anden lovgivning. Pointen er, at I skal skabe opmærksomhed blandt jeres medarbejdere om, at det juridiske grundlag for behandling af personoplysninger kan være noget, de har brug for at skulle overveje, især i nye og ukendte situationer.

For eksempel, hvis vi tænker tilbage på eksemplet med at organisere en firmajulefest, så kan den medarbejder der har til opgave at organisere begivenheden, konsultere databeskyttelsesofficeren (DPO) i jeres organisation om, hvordan man fortsætter. Det juridiske grundlag for sådan behandling kan betragtes som en legitim interesse, da dine medarbejdere er opmærksomme på, hvem der indsamler oplysningerne, og hvad de vil blive brugt til. Din DPO kan dog også give nogle nyttige råd til den person, der er ansvarlig for begivenheden, såsom hvordan man gemmer dataene og derefter sletter dem.

Kort sagt er det dine advokater, juridiske afdeling eller DPO, der skal være ansvarlige for at finde ud af det juridiske grundlag for behandling af personoplysninger. Det er dem, der skal gøre sig de juridiske forberedelser for at opnå det juridiske grundlag, ikke de faste medarbejdere selv.

Dit team skal dog være opmærksom på, at de muligvis har brug for et juridisk grundlag, og de skal kunne henvende sig til det juridiske team, hvis de er i tvivl om noget. Dit job i denne sammenhæng skal være at skabe opmærksomhed blandt dine medarbejdere og sikre at de har nogen, de kan søge rådgivning om juridiske grunde hos.

Det handler om at være opmærksom

Helt overordnet er der mange berøringsflader, hvor dine medarbejdere muligvis har brug for at behandle persondata, hvor I skal sikre jer, at der er et juridisk grundlag for at gøre dette. Persondata er overalt, og det samme er behovet for at behandle dem. Uanset om det handler om dit eget team, kunder, leverandører eller andre der interagerer med din virksomhed, skal der eksistere et juridisk grundlag for behandling af personoplysninger. Du kan ikke forvente, at dit team bliver eksperter i GDPR, men du kan sikre at der bliver taget hånd om det juridiske grundlag. Dette kan gøres ved at skabe opmærksomhed blandt medarbejderne om at konsultere den ansvarlige person eller afdeling i virksomhede, når de er i tvivl. Det betyder, at din førsteprioritet her er at skabe opmærksomhed blandt dine medarbejdere og sørge for, at der er en person eller afdeling, som dine medarbejdere kan konsultere.