Menu
Wave top
non-sensitive-cover

Almindelige personoplysninger | Hjemmelsgrundlag

Enhver behandling af personoplysninger skal have et hjemmel i artikel 6, stk. 1, i GDPR, som du kan læse om i denne artikel.

  • Ikke-følsomme persondata - Find dit hjemmelgrundlag
  • 17 eksempler
Wave Bottom

Hjemmel til behandling af almindelige personoplysninger

Det er et centralt krav i databeskyttelsesforordningen, at man altid skal have en hjemmel til at behandle personoplysninger. Man må altså ikke behandle personoplysninger uden at have en hjemmel hertil. 

Det er afgørende at have kendskab til hvilke personoplysninger du behandler, da disse kræver forskellige hjemler alt efter om der fx behandles almindelige eller følsomme personoplysninger. Dette kræver først og fremmest, at du ved hvad personoplysninger er, samt hvilke personoplysninger du behandler i din organisation. 

6 Hjemler

Databeskyttelsesforordningen kræver, at du altid har et lovligt grundlag for at behandle personoplysninger, som beskrevet i artikel 6, stk. 1. Dette gælder uanset, om der er tale om almindelige eller følsomme oplysninger. Her gennemgår vi de seks hjemmelsgrundlag, så du kan vælge det, der passer bedst til din behandling.

Samtykke (artikel 6, stk.1, litra a.)

Du kan behandle personoplysninger om en person, hvis denne har givet samtykke til dette.

Artikel 6, stk. 1, litra a. angiver, at personoplysninger kan behandles, hvis: “den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.”

For at et samtykke kan være gyldigt, skal det opfylde de krav, der er angivet i artikel 7 i databeskyttelsesforordningen, hvilket gennemgås herunder:

Påvise

Du skal kunne påvise, at en person har givet samtykke til, at du kan behandle deres personoplysninger. Det vil typisk kunne gøres ved at have skriftlig dokumentation for at samtykket er givet. Det kan dog også demonstreres ved andre metoder, fx hvis det kan demonstreres, at en handling i et IT-system udelukkende kan gennemføres af vedkommende, hvis de har givet samtykke hertil.

Specifikt

Et samtykke skal være specifikt, dvs. at det skal gives til en specifik behandling, og det skal være klart adskilt fra andre behandlinger, som du ønsker at bede om samtykke til. Hvis du fx ønsker at foretage 2 behandlinger om en person, og du blot beder om 1 samtykke, så er dette ikke gyldigt. Man skal specifikt kunne sige hhv. ‘ja’ og ‘nej’ til de 2 forskellige behandlinger.

Tilbagetrækning af samtykke

Vedkommende skal altid kunne trække sit samtykke tilbage, og tilbagetrækningen skal være lige så let, som det var at give samtykket i første omgang. Hvis et samtykke tilbagetrækkes, så skal du ophøre behandlingen af vedkommendes personoplysninger, og slette deres data jf. din slettepolitik. 

Frivilligt

Et samtykke skal være frit. 

Et samtykke givet under enhver form for tvang er åbenlyst ikke et samtykke. Et samtykke kan derfor sjældent være gyldigt, hvis der fx allerede findes en kontrakt mellem 2 parter eller i øvrigt er et ulige magtforhold mellem 2 parter. I sådanne situationer kan anden hjemmel anvendes fx en kontrakt.

Praktisk efterlevelse

Hvis du vil bruge et samtykke som dit behandlingsgrundlag, så skal du have dette samtykke på plads inden behandlingen foretages. I det øjeblik, at du beder om samtykket, så har du også pligt til at følge databeskyttelsesforordningens krav til at oplyse klart og tydeligt om behandlingen (artikel 12 og 13). Dernæst skal du sikre dig, at du efterlever kravene angivet ovenover til fx at kunne påvise, at du har et gyldigt samtykke.

Eksempler

Nyhedsbrev

Du har formentlig prøvet at tilmelde dig et nyhedsbrev, og denne behandling af personoplysninger (mailadresse) sker typisk på frivillig basis ved, at du aktivt tilmelder dig. Hjemlen til at foretage denne behandling sikres typisk ved at bede om dit samtykke i tilmeldingsprocessen. Du kan tjekke, at vi gør det rigtigt ved at tilmelde dig vores nyhedsbrev, hvor vi også beder dig om samtykke for at kunne udsende dette.

HR

Samtykke bruges sjældent som grundlag i ansættelsesforhold, da det ulige magtforhold mellem arbejdsgiver og medarbejder gør det svært at sikre, at samtykket er frivilligt. Arbejdsgiveren bør derfor som hovedregel søge en anden hjemmel til behandling af personoplysninger, hvilket ofte kan findes i kontraktforholdet med den ansatte eller arbejdsgiverens legitime interesse.

Kontrakt (artikel 6, stk.1, litra b.)

Du kan behandle personoplysninger, hvis en kontrakt indebærer, at behandlingen af personoplysninger er nødvendig. 

Artikel 6, stk. 1, litra b. angiver, at du kan behandle personoplysninger når “behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt”

Det kan også være nødvendigt at behandle personoplysninger inden, at en kontrakt officielt er indgået, og her kan dette behandlingsgrundlag stadig bruges. Der er ofte en periode med dialog og research omkring en kontrakt inden, at den indgås, og her kan denne hjemmel altså bruges så længe at behandlingen relaterer sig til kontrakten. 

Eksempler

Herunder kan du læse nogle eksempler på, hvordan en kontrakt kan anvendes som behandlingsgrundlag.

HR

En ansættelseskontrakt kan bruges som grundlag for behandling af personoplysninger, hvis det er nødvendigt for at opfylde kontrakten. En arbejdsgiver er fx nødsaget til at behandle en medarbejders løn- og kontooplysninger for at kunne udbetale løn jf. ansættelseskontrakten.

Webshop

En webshop behandler kundens oplysninger (fx navn, leverings- og betalingsoplysninger) for at levere de købte varer eller tjenester, jf. webshoppens handelsbetingelser.

Medlemskab af et fitnesscenter

Et fitnesscenter behandler medlemmers oplysninger som led i medlemsaftalen. Dette inkluderer at registrere medlemskab, administrere betalinger og give adgang til træningsfaciliteter og events, der er en del af medlemskabet.

Serviceaftale med en elektriker

En elektriker behandler kundens oplysninger (fx navn og adresse) som led i en serviceaftale for at planlægge og udføre vedligeholdelse af elektriske installationer. 

Retlig forpligtelse (artikel 6, stk.1, litra c.)

Du kan være nødsaget til at behandle personoplysninger for at kunne efterleve en retlig forpligtelse, og dette er også et gyldigt hjemmelsgrundlag til at behandle personoplysninger jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c.:

 “Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

En "retlig forpligtelse" kan bruges som hjemmel til behandling af personoplysninger til at efterleve lovgivning eller myndighedskrav, og din behandling af personoplysninger skal matche formålet i dette retsgrundlag.

Eksempler

Herunder kan du finde eksempler, hvor en retlig forpligtelse kan være hjemmelsgrundlaget for behandlingen af personoplysninger.

Bogføring og regnskab

En virksomhed skal opbevare fakturaer og andre regnskabsdokumenter i en bestemt periode i henhold til bogføringsloven. Dette kræver behandling af kundernes eller leverandørernes personoplysninger, som fx navn, adresse, cvr.nr., mv..

Indberetning af skat og afgifter

En arbejdsgiver er forpligtet til at indberette medarbejderes løn og skatteoplysninger til skattemyndighederne. Dette indebærer behandling af oplysninger som CPR-nummer, lønoplysninger og skattefradrag.

Overholdelse af arbejdsmiljøregler

En arbejdsgiver er forpligtet til at registrere og rapportere arbejdsulykker til arbejdstilsynet, og må derfor behandle personoplysninger om involverede medarbejdere og detaljer om ulykken.

Vitale Interesser (artikel 6, stk.1, litra d.)

Du kan behandle personoplysninger, hvis det er nødvendigt for at beskytte en persons vitale interesser, og der ikke er andre lovlige måder at beskytte denne interesse på. Dette fremgår af artikel 6, stk. 1, litra d. i databeskyttelsesforordningen:

"Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser."

Denne hjemmel anvendes typisk i nødsituationer, hvor det ikke er muligt at indhente samtykke, og hvor behandlingen er nødvendig for at beskytte liv eller helbred.

Denne hjemmel anvendes derfor sjældent til behandling af personoplysninger.

Eksempler

Ildebefindende 

Et fitnesscenter vil kunne behandle oplysninger om et medlem, der får et ildebefindende under træning, så de kan dele relevante oplysninger med alarmcentralen for at yde førstehjælp.

Evakuering

En virksomhed kan behandle oplysninger om medarbejdere eller besøgende for at sikre, at alle evakueres sikkert ved en brand eller anden nødsituation. Behandlingen er nødvendig for at beskytte de involveredes liv og helbred, fx ved at dele oplysningerne med redningstjenesten.

Offentlig myndighedsudøvelse (artikel 6, stk.1, litra e.)

Du kan behandle personoplysninger, hvis det er nødvendigt for at udføre en opgave, der er i samfundets interesse eller hører under offentlig myndighedsudøvelse, som du er pålagt. Dette fremgår af artikel 6, stk. 1, litra e. i databeskyttelsesforordningen:

"Behandling er nødvendig for at udføre en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt."

Denne hjemmel er relevant, når behandlingen er fastsat i lovgivningen, og den dataansvarlige handler på baggrund af tildelte offentlige beføjelser.

Hvis en privat virksomhed har fået ansvaret for at udføre en opgave på vegne af det offentlige, kan de behandle personoplysninger som en del af denne opgave. Behandlingen er lovlig, fordi opgaven falder under offentlig myndighedsudøvelse, og oplysningerne må kun bruges til det, der er nødvendigt for at løse opgaven.

Eksempler

Herunder findes 2 eksempler på offentlige myndigheders brug af hjemlen ‘offentliglig myndighedsudøvelse’, samt en privat virksomhed der kan bruge hjemlen.

Behandling af ansøgninger om sociale ydelser

En kommune behandler oplysninger om borgere, der ansøger om sociale ydelser, som fx kontanthjælp eller børnetilskud. Behandlingen er nødvendig for at vurdere borgerens ret til ydelser og sker som led i deres offentlige myndighedsudøvelse.

Tilsynsopgaver

En offentlig myndighed behandler oplysninger om virksomheder (inklusive enkeltmandsvirksomheder) som led i deres opgave med at føre tilsyn med overholdelse af miljølovgivningen.

Parkeringskontrol

En privat virksomhed, der udfører parkeringskontrol på vegne af en kommune, behandler oplysninger om bilister, der parkerer ulovligt. Virksomheden registrerer oplysninger om køretøjer (fx registreringsnumre) og sender kontrolafgifter til ejeren af køretøjet. Behandlingen er nødvendig som led i udførelsen af kommunens opgave med at sikre lovlige parkeringsforhold, hvilket er en myndighedsopgave, der er udliciteret til virksomheden.

Legitime interesser (artikel 6, stk.1, litra f.)

Du kan behandle personoplysninger, hvis det er nødvendigt for at opfylde en legitim interesse, og denne interesse ikke overstiger hensynet til den registreredes rettigheder og frihedsrettigheder. Dette fremgår af databeskyttelsesforordningens artikel 6, stk. 1, litra f.:

"Behandling er nødvendig for at opfylde legitime interesser, som forfølges af den dataansvarlige eller en tredjepart, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud."

Legitime interesser er en fleksibel hjemmel, men før den kan anvendes, så kræver det en nøje afvejning af, om behandlingen kan retfærdiggøres i forhold til den registrerede. Her bør du tage hensyn til de registreredes rimelige forventninger, som de vil have til din behandling af deres personoplysninger. Denne afvejning kaldes en interesseafvejning, og denne bør dokumenteres. Du skal desudeb informere vedkommende om denne interesseafvejning jf. din oplysningspligt, hvilket typisk vil indgå i privatlivspolitikken.

Offentlige myndigheder kan som udgangspunkt ikke bruge legitime interesser som hjemmel til at behandle personoplysninger for deres myndighedsudøvelse. Hjemlen kan dog bruges til behandlingsaktiviteter som fx sikkerhedsovervågning. Myndighedsopgaver vil blive udført med hjemmel i artikel 6, stk. 1, litra c (retlig forpligtelse) eller litra e (offentlig myndighedsudøvelse).

Eksempler

Informationssikkerhed

En organisation bruger en IT-sikkerhedsløsning til at logge data for at opdage og håndtere sikkerhedstrusler, hvilket er en legitim interesse, da formålet er at beskytte sine IT-systemer og data.

Forebyggelse af svig

En webshop analyserer kundernes købsmønstre for at opdage og forhindre svindel, fx forsøg på kreditkort bedrageri. Behandlingen er nødvendig for at beskytte virksomheden mod økonomiske tab og beskytte kunderne mod svindel.

Forhold mellem arbejdsgiver og medarbejder

En arbejdsgiver behandler oplysninger om medarbejdernes præstationer for at kunne evaluere deres produktivitet. Dette er en legitim interesse, så længe at det er nødvendigt for organisationens drift og databehandlingen om medarbejderne er proportionel.

Konklusion

Du skal altid have hjemmel til at behandle personoplysninger jf. databeskyttelsesforordningens artikel 6, stk. 1. I denne artikel er disse hjemler blevet gennemgået, og der er givet eksempler på hvordan disse kan anvendes i praksis. 

Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu
Book demo
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl