+45 45 34 44 00
Har du brug for en penetrationstest?
Kontakt os for en uforpligtende snak om dine sikkerhedsbehov.
Kontakt os15. Juridisk grundlag
Behandling af personoplysninger skal være baseret på et af de “juridiske grundlag”, der er nævnt i Artikel 6 i GDPR. Det juridiske grundlag for en behandling fungerer som en begrundelse for, hvorfor behandlingen finder sted. Valget af juridisk grundlag har en direkte indflydelse på, hvordan behandlingen skal implementeres, samt på de registreredes rettigheder. Derfor er det en fordel at tage højde for det juridiske grundlag allerede inden udviklingsfasen, så de nødvendige funktioner kan integreres for at sikre overholdelse af lovgivningen og respekt for de registreredes rettigheder.
Definition af de juridiske grundlag i GDPR
Når udviklingen sker for en privat organisation (virksomheder, foreninger osv.), anvendes ofte følgende juridiske grundlag:
- Kontrakt: Behandlingen er nødvendig for at opfylde eller forberede en kontrakt mellem den registrerede og den dataansvarlige.
- Legitim interesse: Organisationen har en “legitim” interesse i at udføre behandlingen, og denne påvirker ikke den registreredes rettigheder og friheder negativt.
- Samtykke: Den registrerede har givet sit udtrykkelige samtykke til behandlingen.
Hvis du er en offentlig myndighed eller udfører opgaver i offentlighedens interesse, kan andre juridiske grundlag også anvendes:
- Juridisk forpligtelse: Behandlingen er påkrævet af lovgivning eller regulativer.
- Offentlig interesse: Behandlingen er nødvendig for at udføre en opgave i samfundets interesse.
Endelig kan beskyttelse af vitale interesser i særlige tilfælde anvendes som grundlag, f.eks. ved behandlinger, der er nødvendige for at overvåge spredningen af epidemier eller i humanitære nødsituationer.
Vælg det passende juridiske grundlag
Undersøg på CNIL’s hjemmeside, om der findes specifikke regler, der påvirker dit valg (f.eks. vedrørende cookies og trackere).
Der skal vælges ét juridisk grundlag pr. formål – det er ikke tilladt at kombinere flere grundlag for det samme formål. Hvis en behandling tjener flere formål, skal der vælges et juridisk grundlag for hvert af dem.
Hvis du er en offentlig myndighed, vil juridisk forpligtelse eller offentlig interesse oftest være de mest relevante grundlag.
Hvis behandlingen sker som led i et kontraktforhold og er objektivt nødvendig for at levere en tjeneste (f.eks. navn, adresse og e-mail for at oprette en brugerkonto på en e-handelsplatform), er kontrakt det passende grundlag.
Hvis behandlingen ikke sker inden for et kontraktforhold, kan samtykke eller legitim interesse være relevante grundlag. Hvis behandlingen er potentielt indgribende (profilering, indsamling af geolokationsdata osv.), vil samtykke oftest være det passende grundlag.
Hvis behandlingen omfatter følsomme oplysninger (helbredsoplysninger, seksuel orientering osv.), skal der – ud over det juridiske grundlag – også identificeres en undtagelse i henhold til Artikel 9 i GDPR.
Udøvelse af rettigheder og oplysningskrav afhængigt af det juridiske grundlag
- Tabellen nedenfor opsummerer, hvilke rettigheder der gælder afhængigt af det valgte juridiske grundlag:
| Indsigtsret | Ret til berigtigelse | Ret til sletning | Ret til begrænsning af behandling | Ret til dataportabilitet | Ret til indsigelse | |
|---|---|---|---|---|---|---|
| Samtykke | ✔ | ✔ | ✔ | ✔ | ✔ | Tilbagetrækning af samtykke |
| Kontrakt | ✔ | ✔ | ✔ | ✔ | ✔ | ✘ |
| Legitim interesse | ✔ | ✔ | ✔ | ✔ | ✘ | ✔ |
| Juridisk forpligtelse | ✔ | ✔ | ✘ | ✔ | ✘ | ✘ |
| Offentlig interesse | ✔ | ✔ | ✘ | ✔ | ✘ | ✔ |
| Beskyttelse af vitale interesser | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
Det juridiske grundlag skal altid fremgå af den information, der gives til den registrerede.
Hvis behandlingen baseres på legitim interesse, skal det også specificeres, hvilken interesse der forfølges (f.eks. bekæmpelse af svindel, systemets sikkerhed osv.).
Det anbefales at dokumentere valget af juridisk grundlag. Dette kan f.eks. registreres i en behandlingsoversigt eller angives i den tekniske dokumentation.
Det specifikke tilfælde: Cookies og andre trackere
Ifølge EU’s ePrivacy-direktiv skal der indhentes brugerens samtykke, inden der lagres oplysninger – via cookies, identifikatorer eller andre trackere (f.eks. softwarefingeraftryk, pixels) – eller inden der tilgås oplysninger, der allerede er gemt på brugerens enhed.
Der gælder dog en undtagelse, hvis cookies udelukkende anvendes til at gennemføre elektronisk kommunikation eller er strengt nødvendige for at levere en tjeneste, som brugeren har anmodet om.
Desuden fritager brugen af én tracker til flere formål ikke fra kravet om samtykke for de formål, hvor dette er nødvendigt. Hvis en autentifikationscookie f.eks. også anvendes til målrettet reklame, skal der indhentes samtykke til dette formål, præcis som på en ikke-logget side.