Det er vigtigt for alle virksomheder, at de overholder GDPR-reglerne og brugen af persondata. Du får her et overblik over, hvilke slags personoplysninger, der findes, og i hvilke tilfælde du må behandle og opbevare personoplysninger.
Generelt om personoplysninger
Datatilsynet definerer personoplysninger som "enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger".
Personoplysninger kan for eksempel være adresse, registreringsnummer, billeder, betalingsoplysninger, lægejournaler eller biologisk materiale. Når det i praksis er muligt at identificere en fysisk person ud fra oplysningerne eller i kombination med andre oplysninger, så er der tale om en personoplysning.
Kategorier af personoplysninger
Databeskyttelsesforordningen opdeler personoplysninger i tre typer:
- Personoplysninger (ikke-følsomme oplysninger)
- Særlige kategorier af personoplysninger (følsomme oplysninger)
- Oplysninger om straffedomme og lovovertrædelser
Derudover skelner man også mellem fortrolige oplysninger og CPR-numre.
Almindelige personoplysninger
Almindelige personoplysninger indbefatter alle de oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger).
Det kan for eksempel være identifikationsoplysninger som navn, adresse, telefonnummer, e-mail og alder. Det gælder også økonomiske forhold som skat og gæld og private forhold som familieforhold, bolig og eksamener.
Man har oftest ret som virksomhed til at behandle personoplysninger om en kunde, fordi at I indgår i en handelsrelation via en aftale/kontrakt, og det derfor er nødvendigt at behandle oplysningerne for at kunne levere et produkt eller en ydelse til kunden.
Følsomme oplysninger
Følsomme personoplysninger er utvetydigt afgrænset i databeskyttelsesforordningen, og fordi de er kategoriseret som "følsomme", kræver det særlige hensyn, når man som virksomhed, forening eller myndighed behandler dem. Adgangen til at behandle sådanne oplysninger er også snævrere end ved de almindelige personoplysninger.
Følsomme personoplysninger er oplysninger om:
- Race og etnisk oprindelse
- Religiøs eller filosofisk overbevisning
- Politisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Biometriske data med henblik på entydig identifikation
- Genetiske data
- Helbredsoplysninger
- Seksuelle forhold eller seksuelle orientering
Listen er udtømmende, så det er derfor alle oplysninger og kun oplysningerne nævnt ovenfor, som kan klassificeres som følsomme personoplysninger.
Det er i princippet forbudt at behandle følsomme persondata ifølge databeskyttelsesforordningen. Der er dog en række undtagelser, der gør det lovligt for virksomheder at behandle en persons følsomme oplysninger. Det gælder f.eks., hvis en person har givet udtrykkeligt samtykke til, at deres følsomme personoplysninger må behandles.
Oplysninger om strafbare forhold
En virksomhed må som udgangspunkt ikke behandle oplysninger om lovovertrædelser eller strafbare forhold. Databeskyttelsesforordningen anser oplysninger om strafbare forhold for personoplysninger og er derfor særskilt reguleret i databeskyttelsesloven.
Begrebet strafbare forhold indbefatter ikke kun oplysninger om overtrædelse af lovgivning, men også andre sanktioner, som f.eks. rettighedsfrakendelse.
Hvis det er muligt at udlede fra en oplysning, at en person har begået noget strafbart, så kan oplysningen klassificeres som en oplysning om strafbare forhold.
I nogle tilfælde kan det være tilladt for virksomheder at behandle oplysninger om strafbare forhold. Det gælder f.eks. hvis:
- En medarbejder har foretaget noget ulovligt, og det er nødvendigt at politianmelde medarbejderen.
- Der skal indhentes straffeattest eller børneattest i forbindelse med ansættelse af en medarbejder.
Fortrolige oplysninger
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke beskrives udtrykkeligt af persondataforordningen, men hvor der er særlige beskyttelsesbehov, som kan have betydning i forhold til GDPR-reglerne.
En fortrolig oplysning kan være indtægts-, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det kan også være oplysninger om interne familieforhold og ulykker.
Om en oplysning er fortrolig eller ej afhænger af, om oplysningen efter den almindelige opfattelse i samfundet er noget, man kan forlange, at offentligheden ikke skal have kendskab til.
Følsomme personoplysninger er altid fortrolige oplysninger, men fortrolige oplysninger er ikke nødvendigvis følsomme oplysninger.
CPR-nummer
CPR-numre er ikke en følsom personoplysning, men der gælder særlige forhold for personnumre, da de er fortrolige oplysninger.
Det er tilladt for en virksomhed at behandle en kundes CPR-nummer, hvis der er en særlig lovgivning for det, f.eks. hvis man som bank eller arbejdsgiver skal indberette CPR-nummeret til SKAT.
Man skal have saglig grund
Hvis virksomheden har en saglig grund til at behandle kundens CPR-nummer, så kan virksomheden bede om en kundes samtykke.
En saglig grund vil typisk være, at det er vigtigt for ydelsen til kunden, at kunden er korrekt identificeret. Eksempler kan være, hvis den registrerede person har:
- Et medlemskab til et fitnesscenter
- Et abonnement hos et mobiltelefonselskab
Her gælder det, at der er behov for at sikre en entydig identifikation af kunden, f.eks. i forbindelse med indbetalinger. CPR-nummeret skal være krypteret, hvis det bliver overført via hjemmesider eller e-mail.
Behandling af personoplysninger
Behandling af følsomme oplysninger er tilladt, hvis den registrerede person har givet sit samtykke til behandlingen.
For at samtykket er gyldigt, skal det være givet frivilligt og utvetydigt. Det er også vigtigt, at den registrerede person er informeret om, hvad vedkommendes personoplysninger specifikt skal bruges til, og hvordan virksomheden vil opbevare personoplysningerne.
Derudover kan en registreret persons samtykke altid trækkes tilbage. Hvis en virksomhed har indledt en behandling på baggrund af et samtykke, er den bundet af det fremsatte formål, som den registrerede person er blevet oplyst om, da samtykket blev givet.
Hvad hvis man ikke har samtykke?
Det er faktisk også tilladt at behandle følsomme personoplysninger uden samtykke, hvis den registrerede person selv har offentliggjort oplysningerne på forhånd.
Derudover kan virksomheder behandle følsomme personoplysninger, hvis det er nødvendigt af hensyn til:
- Den registrerede persons arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder
- Den registrerede persons eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
- En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger
- Et retskravs fastlæggelse eller behandling
- Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål
- Behandling af sundhedsfaglig karakter inden for sundhedssektoren
- Væsentlige samfundsinteresser
Særlige regler om børns personoplysninger
Der findes i reglerne for databeskyttelse en særlig beskyttelse af personoplysninger om børn. Det gælder især persondata fra informationssamfundstjenster som sociale medier.
I de tilfælde skal virksomheder have samtykke fra forældremyndighedshaverne, og samtykket skal kunne dokumenteres. Al den information, der omhandler børnene, skal være skrevet på en enkel måde, så børnene kan forstå det.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
