Hvad er personfølsomme oplysninger?

5 minutters læsning. Udgivet den 04-03-2022 under kategorien: gdpr.
Nuværende kunde? Log ind
5 minutters læsning. Udgivet den 04-03-2022 under kategorien: gdpr.
Det er vigtigt for alle virksomheder, at de overholder GDPR-reglerne og brugen af persondata. Du får her et overblik over, hvilke slags personoplysninger, der findes, og i hvilke tilfælde du må behandle og opbevare personoplysninger.
Datatilsynet definerer personoplysninger som "enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger".
Personoplysninger kan for eksempel være adresse, registreringsnummer, billeder, betalingsoplysninger, lægejournaler eller biologisk materiale. Når det i praksis er muligt at identificere en fysisk person ud fra oplysningerne eller i kombination med andre oplysninger, så er der tale om en personoplysning.
Databeskyttelsesforordningen opdeler personoplysninger i tre typer:
Derudover skelner man også mellem fortrolige oplysninger og CPR-numre.
Almindelige personoplysninger
Almindelige personoplysninger indbefatter alle de oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger).
Det kan for eksempel være identifikationsoplysninger som navn, adresse, telefonnummer, e-mail og alder. Det gælder også økonomiske forhold som skat og gæld og private forhold som familieforhold, bolig og eksamener.
Man har oftest ret som virksomhed til at behandle personoplysninger om en kunde, fordi at I indgår i en handelsrelation via en aftale/kontrakt, og det derfor er nødvendigt at behandle oplysningerne for at kunne levere et produkt eller en ydelse til kunden.
Følsomme oplysninger
Følsomme personoplysninger er utvetydigt afgrænset i databeskyttelsesforordningen, og fordi de er kategoriseret som "følsomme", kræver det særlige hensyn, når man som virksomhed, forening eller myndighed behandler dem. Adgangen til at behandle sådanne oplysninger er også snævrere end ved de almindelige personoplysninger.
Følsomme personoplysninger er oplysninger om:
Listen er udtømmende, så det er derfor alle oplysninger og kun oplysningerne nævnt ovenfor, som kan klassificeres som følsomme personoplysninger.
Det er i princippet forbudt at behandle følsomme persondata ifølge databeskyttelsesforordningen. Der er dog en række undtagelser, der gør det lovligt for virksomheder at behandle en persons følsomme oplysninger. Det gælder f.eks., hvis en person har givet udtrykkeligt samtykke til, at deres følsomme personoplysninger må behandles.
Oplysninger om strafbare forhold
En virksomhed må som udgangspunkt ikke behandle oplysninger om lovovertrædelser eller strafbare forhold. Databeskyttelsesforordningen anser oplysninger om strafbare forhold for personoplysninger og er derfor særskilt reguleret i databeskyttelsesloven.
Begrebet strafbare forhold indbefatter ikke kun oplysninger om overtrædelse af lovgivning, men også andre sanktioner, som f.eks. rettighedsfrakendelse.
Hvis det er muligt at udlede fra en oplysning, at en person har begået noget strafbart, så kan oplysningen klassificeres som en oplysning om strafbare forhold.
I nogle tilfælde kan det være tilladt for virksomheder at behandle oplysninger om strafbare forhold. Det gælder f.eks. hvis:
Fortrolige oplysninger
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke beskrives udtrykkeligt af persondataforordningen, men hvor der er særlige beskyttelsesbehov, som kan have betydning i forhold til GDPR-reglerne.
En fortrolig oplysning kan være indtægts-, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det kan også være oplysninger om interne familieforhold og ulykker.
Om en oplysning er fortrolig eller ej afhænger af, om oplysningen efter den almindelige opfattelse i samfundet er noget, man kan forlange, at offentligheden ikke skal have kendskab til.
Følsomme personoplysninger er altid fortrolige oplysninger, men fortrolige oplysninger er ikke nødvendigvis følsomme oplysninger.
CPR-nummer
CPR-numre er ikke en følsom personoplysning, men der gælder særlige forhold for personnumre, da de er fortrolige oplysninger.
Det er tilladt for en virksomhed at behandle en kundes CPR-nummer, hvis der er en særlig lovgivning for det, f.eks. hvis man som bank eller arbejdsgiver skal indberette CPR-nummeret til SKAT.
Hvis virksomheden har en saglig grund til at behandle kundens CPR-nummer, så kan virksomheden bede om en kundes samtykke.
En saglig grund vil typisk være, at det er vigtigt for ydelsen til kunden, at kunden er korrekt identificeret. Eksempler kan være, hvis den registrerede person har:
Her gælder det, at der er behov for at sikre en entydig identifikation af kunden, f.eks. i forbindelse med indbetalinger. CPR-nummeret skal være krypteret, hvis det bliver overført via hjemmesider eller e-mail.
Behandling af følsomme oplysninger er tilladt, hvis den registrerede person har givet sit samtykke til behandlingen.
For at samtykket er gyldigt, skal det være givet frivilligt og utvetydigt. Det er også vigtigt, at den registrerede person er informeret om, hvad vedkommendes personoplysninger specifikt skal bruges til, og hvordan virksomheden vil opbevare personoplysningerne.
Derudover kan en registreret persons samtykke altid trækkes tilbage. Hvis en virksomhed har indledt en behandling på baggrund af et samtykke, er den bundet af det fremsatte formål, som den registrerede person er blevet oplyst om, da samtykket blev givet.
Det er faktisk også tilladt at behandle følsomme personoplysninger uden samtykke, hvis den registrerede person selv har offentliggjort oplysningerne på forhånd.
Derudover kan virksomheder behandle følsomme personoplysninger, hvis det er nødvendigt af hensyn til:
Der findes i reglerne for databeskyttelse en særlig beskyttelse af personoplysninger om børn. Det gælder især persondata fra informationssamfundstjenster som sociale medier.
I de tilfælde skal virksomheder have samtykke fra forældremyndighedshaverne, og samtykket skal kunne dokumenteres. Al den information, der omhandler børnene, skal være skrevet på en enkel måde, så børnene kan forstå det.
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Du får her en guide til, hvad du skal gøre, hvis du er blevet offer for et cyberangreb.
04-03-2022 · 5 min.