Hvad er en personoplysning?
Personoplysninger er alle typer af oplysninger, der vedrører en persons private eller professionelle liv.
GDPR sondrer mellem:
Dertil kommer fortrolige oplysninger (inkl. cpr. nummer).
Selvom oplysninger som navn eller adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning og identificere de personer, det drejer sig om.
Dette kaldes ofte pseudonymiserede oplysninger og er fortsat omfattet af databeskyttelsesreglerne.
Afhængig af oplysningernes følsomhed gælder forskellige betingelser for behandlingen af disse. Jo mere følsom en personoplysning er, jo strengere er kravene til virksomhedens håndtering af disse oplysninger.
Ikke følsomme personoplysninger
Personoplysninger er alle oplysninger, der ikke hører under kategorien ”følsomme personoplysninger”.
Det kan være identifikationsoplysninger som fx navn og adresse, oplysninger om økonomiske forhold, kontonummer, skat, gæld, væsentlige sociale problemer, sygedage, familieforhold, bolig, bil, ansøgning, CV, ansættelsesdato- og stilling mv.
Håndtering af ikke-følsomme personoplysninger kræver ifølge databeskyttelsesforordningen ikke et udtrykkeligt samtykke men kan ske fx som led i opfyldelsen af et ansættelsesforhold, en samarbejdskontrakt eller lignende.
Følsomme personoplysninger er oplysninger om:
- Helbredsoplysninger
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Behandling af genetiske data
- Biometriske data med henblik på entydig identifikation
- Seksuelle forhold eller seksuel orientering.
Det er kun de oplysninger, der er nævnt her, der anses for følsomme oplysninger.
Behandling af følsomme oplysninger er som udgangspunkt ikke tilladt ifølge databeskyttelsesforordningen.
Der er dog undtagelser, herunder hvis den registrerede har givet udtrykkeligt samtykke eller hvis det eksempelvis kan beskytte den registrerede eller andres vitale interesser, eller hvis det er nødvendigt for at overholde arbejdsretlige forpligtelser. Endvidere kan følsomme personoplysninger behandles, hvis den registrerede tydeligvis selv har offentliggjort oplysningerne på forhånd.
Oplysninger om strafbare forhold
Regler om behandling af oplysninger om strafbare forhold fremgår ikke af GDPR, men er fastsat i de enkelte lande. Oplysninger om strafbare forhold kan være en oplysning om, at en person har begået en bestemt lovovertrædelse, men det kan også være en oplysning om, at en person har adresse i et fængsel.
Med andre ord er der tale om en oplysning om strafbare forhold, hvis det ud fra oplysningen kan udledes, at en person har begået noget strafbart.
Oplysninger om strafbare forhold kan behandles, hvis der foreligger samtykke, eller det er nødvendigt for at varetage en berettiget interesse.
Fortrolige oplysninger, herunder cpr. nummer
Regler om behandling af nationalt identifikationsnummer (i Danmark cpr. nummer) fremgår ikke af GDPR, men reguleres af national lovgivning. Cpr. nummeret er ikke en følsom personoplysning, men der gælder særlige forhold for personnummeret, da dette er en fortrolig oplysning.
Andre ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold, interne familieforhold, selvmordsforsøg og ulykkestilfælde.
Fortrolige oplysninger må behandles, når det følger af lovgivningen, eller der er givet udtrykkeligt samtykke hertil.
Pseudonymisering og anonymisering af personoplysninger
Selv om oplysninger som et navn eller en adresse er erstattet af en kode, som for eksempel ABC123, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning.
Dette kaldes pseudonymiserede oplysninger. Disse er fortsat omfattet af databeskyttelsesreglerne.
Oplysninger, der er gjort uigenkaldeligt anonyme, sådan at ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, er ikke længere beskyttet af databeskyttelsesreglerne.
Læs mere om typerne af personoplysninger på Datatilsynets hjemmeside
