Databeskyttelsesloven § 7

Forbuddet mod behandling af følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, gælder ikke i tilfælde, hvor betingelserne for behandling af personoplysninger i databeskyttelsesforordningens artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt.

Stk. 2. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser og specifikke rettigheder, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra b.

Stk. 3. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h.

Stk. 4. Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g. Tilsynsmyndigheden giver tilladelse hertil, hvis behandlingen efter 1. pkt. ikke foretages for en offentlig myndighed. Der kan i en tilladelse efter 2. pkt. fastsættes nærmere vilkår for behandlingen.

Stk. 5. Uden for de i stk. 1-4 nævnte tilfælde kan vedkommende minister efter forhandling med justitsministeren og inden for databeskyttelsesforordningens rammer fastsætte nærmere regler om behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1.

§ 7 gør op med det generelle forbud mod behandling af følsomme personoplysninger (som race, religion, helbred m.v.) ved at præcisere, hvornår det alligevel er tilladt. Bestemmelsen henviser direkte til GDPR’s artikel 9, stk. 2, litra a, c, d, e og f, hvor samtykke, væsentlige interesser, almennyttige formål eller beskyttelse af den registrerede selv kan gøre behandlingen lovlig. Paragraffen indskriver sig i en EU-retlig ramme, der strammer kontrollen med følsomme data, men samtidig sikrer fleksibilitet i samfundsmæssigt vigtige situationer som krisesituationer, foreningsaktivitet eller hvis den registrerede selv har offentliggjort oplysningerne. Praksis viser, at bestemmelsen ofte sættes i spil i både privat og offentlig sektor, f.eks. når arbejdsgivere skal håndtere helbredsoplysninger eller sociale organisationer arbejder med følsomme sager. Paragraffen skærper bevidstheden om, at følsomme oplysninger kun må behandles, når reglerne følges til punkt og prikke, og kan føre til håndfaste sanktioner ved overtrædelser.

Eksempler

• Medlemsskab af fagforening

  En fagforening registrerer oplysninger om medlemmers politiske tilhørsforhold, fordi medlemmet selv har givet samtykke.

• Helbredsoplysninger i en nødsituation

  En læge behandler helbredsdata uden samtykke for at redde en persons liv, da det falder ind under væsentlige interesser.

• Offentliggørelse af egne data

  En borger offentliggør selv sine religiøse overbevisninger, hvilket muliggør yderligere behandling uden særskilt samtykke.

• •At følsomme personoplysninger kan behandles på samme vilkår som almindelige oplysninger.
• •At samtykke altid er nok – nogle situationer kræver stadig ekstra sikkerhedsforanstaltninger.
• •At det kun gælder offentlige myndigheder – også private virksomheder er omfattet.

• § 8

  Regulerer behandling af oplysninger om strafbare forhold, der ofte er følsomme data.

• § 6

  Definerer de generelle betingelser for behandling af personoplysninger, som § 7 supplerer for følsomme data.