ENGLISH
ITD Website / Medlemsservice / GDPR /

Hvornår må du behandle personoplysninger?

Inden du behandler personoplysninger, skal du sikre dig, at din behandling har et lovligt grundlag. Du skal med andre ord fastlægge, hvilken behandlingshjemmel der ligger til grund for din behandling, og eventuelt hvilken hjemmel der er mest hensigtsmæssig at anvende.

 

De hjemler, du kan anvende, vil for det første afhænge af typen af personoplysninger. Dernæst skal du overveje den situation, som nødvendiggør behandlingen af personoplysninger.

 

Behandling af personoplysninger er kun lovlig, hvis mindst en af følgende hjemler gør sig gældende:

 

  • Den registrerede har givet sit samtykke

  • Der foreligger en kontraktlig forpligtelse fx i et ansættelses- eller kundeforhold

  • For at opfylde en retlig forpligtelse

  • For at beskytte den registreredes vitale interesser

  • Behandling er nødvendig for at udføre en opgave af samfundsinteresse

  • For at forfølge en legitim interesse, så længe denne ikke overstiger den registreredes interesse eller grundlæggende rettigheder (interesseafvejningsreglen)

 

Vær opmærksom på, at retten til fx indsamling af oplysninger, ikke automatisk medfører, at man også har ret til at foretage andre former for behandling – fx videregivelse af de samme oplysninger.

 

Læs mere om de hjemler til behandling af personoplysninger på Datatilsynets hjemmeside.

 

 

Særligt om samtykke

 

Behandling af personoplysninger kan som udgangspunkt altid ske, hvis den registrerede har givet sit samtykke til dette. Dette kan fx være, hvis I vil anvende et billede af medarbejderen på jeres hjemmeside eller I udsender nyhedsbreve til markedsføringsformål.

 

Samtykket skal være frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende, og at der ikke må være tilknyttet (unødvendige) negative konsekvenser ved ikke at afgive et samtykke.

 

Du må kun bruge personoplysninger til det formål, som den registrerede er blevet oplyst om, da samtykket blev indhentet. Et samtykke kan altid trækkes tilbage, hvorefter behandlingen skal ophøre. Det er derfor vigtigt at vurdere, hvorvidt behandlingen kan foregå på et andet grundlag inden samtykket vælges.

 

Et samtykke kan gives både mundtligt, skriftligt og digitalt, men du skal huske, at det er dig som dataansvarlig, der har bevisbyrden for at der er indgået et samtykke og indholdet deraf. Et samtykke bør derfor så vidt muligt afgives skriftligt eller digitalt. Hvis mundtlige samtykke benyttes, er det vigtigt at have dokumentation for, hvornår samtykker er afgivet og til hvad og af hvem. Gerne: navn, dato, tidspunkt, sted og til hvad.

 

 

Retten til at tilbagekalde et samtykke

 

Som dataansvarlig skal du sørge for, at de registrerede på en enkel og nem måde kan trække deres samtykke tilbage. Information om tilbagetrækning og måden hvorpå dette kan ske skal være givet, inden samtykke indhentes.

 

Når et samtykke tilbagekaldes, har den registrerede ret til at få oplysninger om sig selv slettet. Selvom den registrerede ikke selv anmoder om det, bør du som dataansvarlig overveje at slette oplysningerne.

 

Læs mere om samtykke i Datatilsynets vejledning om samtykke.

 

 

 

 

 

 

 

Spørgsmål?

Marianne Frank

Chefkonsulent
+45 7367 4546
+45 2246 9595
E-mail maf@itd.dk