Informationskommissærens kontor (ICO) har udvidet deres vejledning om afsnittet 'Lovligt grundlag for behandling' i Generel databeskyttelsesforordning (GDPR).
'Lovligt grundlag for Behandling' giver information om, hvordan persondata skal behandles, og hvordan samtykke skal indhentes – hvis du overhovedet er forpligtet til at indhente samtykke.
Lad os tage et kig på den opdaterede vejledning om GDPR udgivet af ICO.
Artikel 6(1)(f) i GDPR fastslår, at du lovligt kan behandle data uden at indhente samtykke vha. legitim interesse. Sådan beskriver ICO dets brug under GDPR:
"GDPR nævner specifikt brug af klient- eller medarbejderdata, markedsføring, forebyggelse af svindel, overførsler mellem grupper eller it-sikkerhed som potentielle legitime interesser, men dette er ikke en udtømmende liste. Der står også, at du har en legitim interesse i at oplyse oplysninger om mulige kriminelle handlinger eller sikkerhed trusler mod myndighederne.”
ICO fortsætter med at sige, at behandling af data skal være en målrettet og forholdsmæssig måde at opnå dit formål på. Det betyder, at du ikke kan stole på legitime interesser, hvis der er en anden rimelig og mindre indgribende måde at opnå det samme resultat på.”
Hvilke tilføjelser er der foretaget til det legitime interessegrundlag?
ICO siger, at det lovlige grundlag for legitim interesse er "i det væsentlige" det samme som skema 2-betingelsen i Data Protection Act (DPA) 1998.
Ændringerne vedrører primært:
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Behovet for at dokumentere din beslutningsproces er nok den største ændring af nutiden Databeskyttelse Handling. Beviset og revisionssporet beholder du, som i en informationssikkerhedsstyringssystem, giver dig mulighed for nemt at demonstrere din overholdelse.
Berettiget interesse kan omfatte behandling af data uden indhentning af samtykke, hvis det vurderes at have en bredere fordel for samfundet.
Der er lagt mere vægt på at beskytte disse data. Derudover vil offentlige myndigheder under GDPR være mere begrænsede, når det kommer til legitime interesser, hvor retsgrundlaget for 'Offentlig Opgave' bør overvejes.
Informationskommissærens kontor beskriver særlige kategoridata som dem, der er særligt følsomme og kan udgøre "mere væsentlige risici for en persons grundlæggende rettigheder og friheder." Det betyder, at det kræver mere beskyttelse. ICO'en angiver følgende som eksempler på specialkategoridata.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
Ud over den nuværende databeskyttelseslov fra 1998 er genetiske og biometriske data nu tilføjet den nye forordning. Genetiske data vedrører nedarvede eller erhvervede genetiske egenskaber. Disse oplysninger vil give en indikation af et individs helbred og fysiologi, og de oplysninger, der følger af det, er det, vi omtaler som biometriske data.
Hertil kommer specialkategorien dataafsnittet omfatter ikke længere personlige data, der behandles om strafbare handlinger og domme – dette er nu dækket særskilt i artikel 10, data om strafbare handlinger.
Data om strafbare handlinger omfatter, men er ikke begrænset til, oplysninger om lovovertrædelser, påstande, retssager, domme og relaterede sikkerhedsforanstaltninger.
"Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller relaterede sikkerhedsforanstaltninger baseret på artikel 6, stk. 1, må kun udføres under kontrol af en officiel myndighed, eller når behandlingen er godkendt i henhold til EU- eller medlemsstatslovgivningen, der giver passende garantier for de registreredes rettigheder og friheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af officiel myndighed."
Artikel 10 i GDPR siger, at du kun kan "føre et omfattende register over straffedomme, hvis du gør det under kontrol af officiel myndighed."
Ligeledes er strafbare forhold, som tidligere nævnt, flyttet ud af afsnittet om særlige data.
Med mere der kommer stadig opdateringer om GDPR, følg med for at få besked om meddelelser fra informationskommissærens kontor.
Download din gratis guide
at strømline din Infosec
100 % af vores brugere opnår ISO 27001-certificering første gang