Datatilsynet ændrer sin praksis.

Den 7. november d.å. offentliggjorde Datatilsynet dets praksisændring. Praksisændringen omhandler de dataansvarliges fremadrettede behandling af de personoplysninger, som er omfattet af Databeskyttelsesforordningens artikel 9 – kaldet følsomme personoplysninger.

De følsomme personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Det har tidligere været Datatilsynets opfattelse, af behandling af disse personoplysninger frit kunne ske, hvis den dataansvarlige kunne baserer behandling på et af behandlingsgrundlagende indeholdt i forordningens artikel 9, stk. 2.

Tilsynsmyndighedens praksisændring medfører, at dataansvarliges behandling af følsomme personoplysninger fremadrettet vil være underlagt et ”dobbelt hjemmelskrav”. Det betyder, at behandlingsgrundlaget ikke alene skal findes i forordningens artikel 9, stk. 2, eller i en bestemmelse, der gennemfører artikel 9 (Databeskyttelseslovens §§ 9-10), men også skal baseres på et behandlingsgrundlag indeholdt i forordningens artikel 6. Det, selvom artikel 6 kun fastsætter krav for den dataansvarliges behandling af almindelige personoplysninger, ikke følsomme personoplysninger.

Datatilsynets praksisændring sker som følge af en række nyere vejledninger fra Det Europæiske Databeskyttelsesråd (tidl. Artikel 29-gruppen). Det ”dobbelte hjemmelskrav” stemmer også bedre overens med Databeskyttelsesforordningens præambelbetragtning nr. 51, der let skjult refererer til anvendelsen af forordningens artikel 6 i tilfælde, hvor der sker behandling af følsomme personoplysninger.

Hvad betyder ændringen for de dataansvarlige?
Datatilsynets overordnede opfattelse er, at praksisændringen ikke afstedkommer en faktisk ændring. Det skyldes, at den dataansvarlige ved at opfylde kravene til lovlig behandling i forordningens artikel 9, stk. 2, eller Databeskyttelseslovens §§ 9-10 i langt de fleste tilfælde per automatik også vil have iagttaget artikel 6.

Af den grund varsles i omlægningen ikke nogen skelsættende ændring i praksis, og Datatilsynet tilskynder ej heller en øjeblikkelig ajourføring. D

atatilsynet henstiller i stedet til, at dataansvarlige i det omfang det måtte være nødvendigt, får foretaget justeringer af databeskyttelsesretlige dokumenter løbende, som led i den almindelige ajourføring med disse dokumenter. Praksisændringen har dermed betydning, når det kommer til de databeskyttelsesretlige dokumenter, som vedrører den dataansvarliges oplysningspligt (Databeskyttelsesforordningens artikel 13 og 14).

LOU Advokatfirmas databeskyttelsesafdeling har taget den ændrede praksis til følge, og tilbyder som altid løbende ajourføring af dine databeskyttelsesretlige dokumenter.

Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.

27. november 2019