Behandling af personoplysninger reguleres i databeskyttelsesforordningenog databeskyttelsesloven (”databeskyttelsesregler”). I det følgende gennemgås de principper, som er de mest relevante i forhold til miljøtilsynsbekendtgørelsens regler om afgivelse og offentliggørelse af oplysninger. Har du brug for vejledning om databeskyttelsesreglerne, skal du altid søge vejledning i Datatilsynets vejledningsmateriale. Du kan læse mere om databeskyttelsesregler på Datatilsynets hjemmeside.
Hvad er en ”personoplysning”?
En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person, fx navn, adresse, telefonnummer, e-mail, stillingsbetegnelse/titel, arbejdsområde eller et billede.
Udtrykket ”identificerbar fysisk person” dækker enhver situation, hvor en person direkte eller indirekte kan identificeres ved hjælp af oplysningerne, uanset om dette fx forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer, og uanset at identifikationsoplysningen ikke er alment kendt eller umiddelbart tilgængelig. Ved bedømmelsen af, om der er tale om personoplysninger omfattet af databeskyttelsesreglerne, vil det således principielt være uden betydning, på hvilken måde identifikationen kan foretages.
Du skal være opmærksom på, at oplysninger i forbindelse med enkeltmandsvirksomheder er personoplysninger, hvis de gør det muligt at identificere en fysisk person. Også oplysninger om interessentskaber – i det omfang interessenterne er fysiske personer – kan være personoplysninger, hvis oplysninger kan henføres til en identificeret eller identificerbar fysisk person. Især mange mindre virksomheder og husdyrbrug m.v. er enkeltmandsvirksomheder og oplysningerne kan derfor være omfattet af databeskyttelsesreglerne. Du kan finde oplysninger om virksomhedstype i det centrale virksomhedsregister, CVR.
Virksomhedsoplysninger, dvs. oplysninger om juridiske personer, såsom aktieselskaber, anpartsselskaber, kommanditselskaber, fonde, foreninger og visse selvejende institutioner mv., er ikke omfattet af databeskyttelsesreglerne. Bemærk dog, at databeskyttelsesreglerne også gælder for personoplysninger vedrørende fysiske personer i forbindelse med en erhvervsaktivitet, som fx ansatte i en virksomhed eller arbejdsmailadresser i formatet ”fornavn.efternavn@virksomhed.dk”.
Et CVR-nummer er som udgangspunkt ikke en personoplysning, medmindre ejeren af CVR-nummeret driver sit selskab som et personselskab, hvor CVR-nummeret kan identificere en fysisk person.
Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, fx oplysninger om det samlede antal af politianmeldelser og selvhjælpshandlinger jf. § 17, stk. 1, nr. 1, anses ikke for en personoplysning.
Du kan læse mere om personoplysninger på Datatilsynets hjemmeside.
Hvilke typer personoplysninger findes der?
Almindelige personoplysninger og følsomme personoplysninger
Databeskyttelsesforordningen skelner mellem almindelige personoplysninger og særlige kategorier af personoplysninger (følsomme personoplysninger). Særlige kategorier er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold. Det dækker også behandling af genetiske og biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jf. databeskyttelsesforordningens artikel 9.
Fortrolige personoplysninger
Der gælder endvidere særlige regler for behandling af andre fortrolige personoplysninger.
Fortrolige oplysninger er en særlig kategori, der ikke nævnes udtrykkeligt i databeskyttelsesforordningen, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. I denne kategori falder følsomme personoplysninger og andre fortrolige personoplysninger, herunder CPR-numre og personoplysninger om strafbare forhold.
Grundlag for behandling, herunder afgivelse og offentliggørelse, af personoplysninger
Inden du behandler, herunder afgiver eller offentliggør, personoplysninger, skal du sikre dig, at din behandling har et lovligt grundlag. Vær opmærksom på, at der gælder særlige krav for behandling af følsomme personoplysninger og andre fortrolige oplysninger. Du kan læse mere om, hvornår du må behandle personoplysninger på Datatilsynets hjemmeside.
Almindelige personoplysninger, dvs. personoplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger) må lovligt behandles, hvis betingelserne i en af bestemmelserne i databeskyttelsesforordningens artikel 6, stk. 1, litra a-f, er opfyldt.
I det omfang du som godkendelses- eller tilsynsmyndighed i henhold til miljøtilsynsbekendtgørelsen er forpligtet til at afgive/offentliggøre (almindelige) personoplysninger kan afgivelsen/offentliggørelsen af disse oplysninger ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra c, hvorefter personoplysninger må behandles, hvis det er nødvendigt for at overholde en retlig forpligtelse, som påhviler myndigheden.
Behandling af almindelige personoplysninger vil i øvrigt kunne ske, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e.
I visse tilfælde, fx hvor du kan vælge om oplysninger skal afgives og offentliggøres i aggregeret form eller med angivelse af virksomheden og husdyrbruget m.v., jf. § 14, stk. 3, vil der kunne foreligge dobbelthjemmel til behandlingen, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c og e.
I de tilfælde, hvor du i henhold til miljøtilsynsbekendtgørelsen ikke har pligt til at afgive og/eller offentliggøre oplysningerne, fx hvis du vil offentliggøre flere oplysninger end krævet i miljøtilsynsbekendtgørelsen, fx en tilsynsrapport med uddybende prosa, billeder m.v., må du foretage en konkret vurdering af, om afgivelsen/offentliggørelsen af eventuelle personoplysninger må anses for at være nødvendig. Denne vurdering vil bl.a. afhænge af oplysningernes karakter, omstændighederne omkring behandlingen og hvad er formålet med behandlingen og karakteren af den behandling, der foretages. Vurderingen af nødvendigheden skal endvidere foretages ud fra et synspunkt om, at jo mere indgribende en behandlingsform, der er tale om, desto større krav stilles til nødvendigheden af, at behandlingen finder sted. Offentliggørelse af oplysninger på internettet er en meget indgribende form for behandling af personoplysninger, da modtagerkredsen i princippet er alle internetbrugere, og derfor stilles der større krav til nødvendigheden af offentliggørelsen.
Der gælder som udgangspunkt et forbud mod behandling af særlige kategorier af personoplysninger (følsomme personoplysninger). Disse oplysninger skal undtages fra offentliggørelse på DMA.
Principper for behandling af personoplysninger
Som dataansvarlig skal du også bl.a. sikre, at personoplysninger behandles i overensstemmelse med principperne for behandling jf. databeskyttelsesforordningens artikel 5, dvs. at oplysningerne skal:
- behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
- indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«)
- være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
- være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
- opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«)
- behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Øvrige regler i databeskyttelsesforordningen og databeskyttelsesloven
Som dataansvarlig skal du endvidere sikre, at behandlingen overholder de øvrige regler i databeskyttelsesforordningen og databeskyttelsesloven, herunder fx at du efterlever reglerne om de registreredes rettigheder, som fx oplysningspligt eller retten til indsigt. Du kan læse mere om forpligtelserne på Datatilsynets hjemmeside.