Personoplysninger ("Personfølsomme oplysninger")

Hvordan en virksomhed skal behandle medarbejderes og kunders personoplysninger, afhænger af oplysningstypen. Jo mere følsom en oplysning der er tale om, jo strengere er kravene til virksomhedens håndtering af persondata i henhold til databeskyttelsesforordningen.

Personoplysninger (”Personfølsomme oplysninger”)

Mange omtaler personoplysninger som ”personfølsomme oplysninger” – men det er der faktisk ikke noget, der hedder. Personoplysninger er oplysninger, der – alene eller sammen med andre oplysninger – kan henføres til en fysisk person – såkaldt personhenførbare oplysninger. Disse kan være almindelige personoplysninger eller en særlig kategori af personoplysninger. GDPR gælder alle typer personoplysninger, men der er lidt forskel i reglerne.

Skal din virksomhed behandle personoplysninger, er det vigtigt, at du kender reglerne for denne kategori af persondata. Dem kan du læse mere om her på siden.

Hvad er særlige kategorier af (følsomme) personoplysninger?

De særlige kategorier – i daglig tale følsomme personoplysninger– er ifølge databeskyttelsesforordningen oplysninger om:

  • Helbredsforhold
  • Fagforening
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Seksuelle forhold
  • Genetisk data
  • Biometriske data fx fingeraftryk, ansigtsgenkendelser og irisscanninger med henblik på entydig identifikation
Behandling af følsomme personoplysninger er som udgangspunkt forbudt ifølge databeskyttelsesforordningen.

Behandling af følsomme personoplysninger

Behandling af følsomme personoplysninger er som udgangspunkt forbudt ifølge databeskyttelsesforordningen. Der er dog undtagelser – herunder hvis den registrerede har givet udtrykkeligt samtykke, hvis det eksempelvis kan beskytte den registreredes eller andres vitale interesser fx blodtype, medicinallergi og lign., eller hvis det er nødvendigt for at overholde arbejdsretlige forpligtelser.

 

Hvad skal du være opmærksom på i forhold til behandling af CPR-nummer og databeskyttelsesforordningen?

CPR-numre er ikke defineret som følsomme personoplysninger, men som fortrolige oplysninger. CPR-numre bør i praksis behandles som var de følsomme persondata.

 

Databeskyttelsesforordningen og håndtering af strafbare forhold

Oplysninger om strafbare forhold kan behandles, hvis der foreligger samtykke, eller det er nødvendigt for at varetage en særlig berettiget interesse.

Hvad er almindelige personoplysninger, og hvad skal du være opmærksom på i forhold til databeskyttelsesforordningen?

Behandling af almindelige (ikke-følsomme) personoplysninger kræver ifølge databeskyttelsesforordningen ikke et udtrykkeligt samtykke, men kan som regel ske på baggrund af andre behandlingsgrundlag end samtykke.

Det kan fx være som led i opfyldelsen af en aftale (som eksemplet om ansættelsesforhold herunder) eller interesseafvejningsreglen. Det kan være:

  • Identifikationsoplysninger (navn, adresse, tlf.nr., fødselsdato)
  • Ansøgning og cv (uddannelse, eksamensoplysninger, tidligere beskæftigelse)
  • Løn, arbejdstider, fravær, sygedagpenge (men ikke årsagen til sygefraværet)
  • Kontonummer
  • Skat

Du kan læse mere om samtykke her.

Indsender formularen...

Har du brug for rådgivning?