GDPR artikel 6 skitserer de grundlæggende lovmæssige principper, der forbyder al behandling af personoplysninger, medmindre den er baseret på specifikke lovbestemmelser.
Behandlingens lovlighed
- Behandlingen er kun lovlig, hvis og i det omfang mindst et af følgende gælder:
- (a) den registrerede har givet samtykke til behandlingen af hans eller hendes personoplysninger til et eller flere specifikke formål;
- (b) behandlingen er nødvendig for opfyldelsen af en kontrakt, som den registrerede er part i, eller for at tage skridt på den registreredes anmodning forud for indgåelse af en kontrakt;
- (c) behandlingen er nødvendig for at overholde en juridisk forpligtelse, som den dataansvarlige er underlagt;
- d) behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser;
- e) behandlingen er nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller under udøvelse af officiel myndighed, der er tillagt den registeransvarlige
- f) behandlingen er nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af en tredjepart, undtagen hvor sådanne interesser tilsidesættes af den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, som kræver beskyttelse af personoplysninger, navnlig hvor den registrerede er et barn.
Første afsnit, litra f), finder ikke anvendelse på behandling, der udføres af offentlige myndigheder under udførelsen af deres opgaver.- Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af reglerne i denne forordning med hensyn til behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcise specifikke krav til behandlingen og andre foranstaltninger til sikre lovlig og retfærdig behandling, herunder for andre specifikke behandlingssituationer som fastsat i kapitel IX.
- Grundlaget for den behandling, der er omhandlet i stk. 1, litra c) og e), fastlægges af:
- (a) EU-lovgivning; eller
- b) medlemsstats lovgivning, som den registeransvarlige er underlagt.
Formålet med behandlingen fastlægges i dette retsgrundlag eller, for så vidt angår den i stk. 1, litra e), nævnte behandling, være nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller i udøvelsen af embedsmandsskab. myndighed, der er tillagt den registeransvarlige. Dette retsgrundlag kan indeholde specifikke bestemmelser for at tilpasse anvendelsen af reglerne i denne forordning, bl.a.: de generelle betingelser for lovligheden af den dataansvarliges behandling; de typer data, der er genstand for behandlingen; de pågældende registrerede; de enheder, og de formål, til hvilke personoplysningerne kan videregives; formålsbegrænsningen; opbevaringsperioder; og behandlingsoperationer og behandlingsprocedurer, herunder foranstaltninger til at sikre lovlig og retfærdig behandling, såsom dem for andre specifikke behandlingssituationer som fastsat i kapitel IX. Unionens eller medlemsstatens lovgivning skal opfylde et mål af offentlig interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
- Hvor behandlingen til et andet formål end det, hvortil personoplysningerne er indsamlet, ikke er baseret på den registreredes samtykke eller på en unions- eller medlemsstatslov, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre de mål, der er nævnt i i artikel 23, stk. 1, skal den dataansvarlige for at fastslå, om behandling til et andet formål er forenelig med det formål, hvortil personoplysningerne oprindeligt indsamles, tage hensyn til bl.a.
- a) enhver forbindelse mellem de formål, hvortil personoplysningerne er blevet indsamlet, og formålene med den påtænkte yderligere behandling;
- (b) den kontekst, hvori personoplysningerne er blevet indsamlet, især med hensyn til forholdet mellem registrerede og den registeransvarlige;
- c) karakteren af personoplysningerne, især om der behandles særlige kategorier af personoplysninger i henhold til artikel 9, eller om der behandles personoplysninger i forbindelse med straffedomme og lovovertrædelser i henhold til artikel 10
- d) de mulige konsekvenser af den påtænkte yderligere behandling for de registrerede;
- e) eksistensen af passende sikkerhedsforanstaltninger, som kan omfatte kryptering eller pseudonymisering.
Behandlingens lovlighed
- Behandlingen er kun lovlig, hvis og i det omfang mindst et af følgende gælder:
- (a) den registrerede har givet samtykke til behandlingen af hans eller hendes personoplysninger til et eller flere specifikke formål;
- (b) behandlingen er nødvendig for opfyldelsen af en kontrakt, som den registrerede er part i, eller for at tage skridt på den registreredes anmodning forud for indgåelse af en kontrakt;
- (c) behandlingen er nødvendig for at overholde en juridisk forpligtelse, som den dataansvarlige er underlagt;
- d) behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser;
- e) behandlingen er nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller under udøvelse af officiel myndighed, der er tillagt den registeransvarlige
- f) behandlingen er nødvendig af hensyn til de legitime interesser, der forfølges af den dataansvarlige eller af en tredjepart, undtagen hvor sådanne interesser tilsidesættes af den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, som kræver beskyttelse af personoplysninger, navnlig hvor den registrerede er et barn.
Første afsnit, litra f), finder ikke anvendelse på behandling, der udføres af offentlige myndigheder under udførelsen af deres opgaver.
Grundlaget for den behandling, der er omhandlet i stk. 1, litra c) og e), fastlægges i national lovgivning.
Formålet med behandlingen fastlægges i dette retsgrundlag eller, for så vidt angår den i stk. 1, litra e), nævnte behandling, være nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller i udøvelsen af embedsmandsskab. myndighed, der er tillagt den registeransvarlige. Dette retsgrundlag kan indeholde specifikke bestemmelser for at tilpasse anvendelsen af reglerne i denne forordning, bl.a.: de generelle betingelser for lovligheden af den dataansvarliges behandling; de typer data, der er genstand for behandlingen; de pågældende registrerede; de enheder, og de formål, til hvilke personoplysningerne kan videregives; formålsbegrænsningen; opbevaringsperioder; og behandlingsoperationer og behandlingsprocedurer, herunder foranstaltninger til at sikre lovlig og retfærdig behandling, såsom dem for andre specifikke behandlingssituationer som fastsat i kapitel IX. Den nationale lovgivning skal opfylde et mål af offentlig interesse og stå i et rimeligt forhold til det legitime mål, der forfølges.- Hvor behandlingen til et andet formål end det, hvortil personoplysningerne er indsamlet, ikke er baseret på den registreredes samtykke eller national lovgivning, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at beskytte [national sikkerhed, forsvar eller nogen af] de i artikel 23, stk. 1, nævnte formål, skal den dataansvarlige med henblik på at fastslå, om behandling til et andet formål er forenelig med det formål, hvortil personoplysningerne oprindeligt indsamles, tage hensyn til bl.a.
- a) enhver forbindelse mellem de formål, hvortil personoplysningerne er blevet indsamlet, og formålene med den påtænkte yderligere behandling;
- (b) den kontekst, hvori personoplysningerne er blevet indsamlet, især med hensyn til forholdet mellem registrerede og den registeransvarlige;
- c) karakteren af personoplysningerne, især om der behandles særlige kategorier af personoplysninger i henhold til artikel 9, eller om der behandles personoplysninger i forbindelse med straffedomme og lovovertrædelser i henhold til artikel 10
- d) de mulige konsekvenser af den påtænkte yderligere behandling for de registrerede;
- e) eksistensen af passende sikkerhedsforanstaltninger, som kan omfatte kryptering eller pseudonymisering.
Vi er omkostningseffektive og hurtige
GDPR artikel 6 skitserer 7 faktorer, der bidrager til, hvad den definerer som et "lovligt grundlag for behandling":
I dette afsnit taler vi om GDPR artikel 6 (1)(a), 6(1)(b), 6(1)(c), 6(1)(d), 6(1)(e), 6 ( 1)(f), 6(2), 6(3), 6(4)(a), 6(4)(b), 6(4)(c), 6(4)(d) og 6( 4)(e)
Afhængigt af jurisdiktionen kan organisationer blive nødt til det bevise, at deres PII-behandlingsaktiviteter er lovlige før de begynder.
For at danne et retsgrundlag for behandling af PII bør organisationer:
For hvert punkt nævnt ovenfor bør organisationer kunne tilbyde dokumenteret bekræftelse.
Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).
Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.
I dette afsnit taler vi om GDPR artikel 6 (4)(e)
Organisationer skal enten fuldstændigt ødelægge enhver PII, der ikke længere opfylder et formål, eller ændre den på en måde, der forhindrer enhver form for principiel identifikation.
Så snart organisationen har fastslået, at PII'en ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettet or de-identificeret, som omstændighederne tilsiger.
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 6 (1)(a) til 6(4)(e) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU GDPR artikel 6 (4)(e) | ISO 27701 7.4.5 | Ingen |
ISMS.online platformen inkluderer indbygget vejledning ved hvert trin, kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så det er væsentligt nemmere at demonstrere din GDPR-overholdelse. Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.
Ved at kortlægge dit arbejde på tværs af flere standarder og rammer gør vores intuitive platform det nemt at nå flere mål for informationssikkerhed og databeskyttelse.
Hvis du af en eller anden grund oplever mangel på selvtillid, evner eller lysten til at handle under din rejse til GDPR, kan vi stille vores team af interne eksperter til rådighed eller anbefale en af vores betroede partnere til at give din indsats et løft.
Find ud af mere ved booking af en kort demo.
