Persondataforordningen omhandler personoplysninger, samt hvad man gør med disse i virksomheden.
Så hvad er personoplysninger? Dette er det allermest basale i lovgivningen, men kan faktisk være en smule indviklet, og særligt hvis man ikke er vant til jura-sprog.
Grundlæggende overblik
Helt generelt, så kan personoplysninger være om:
- Identificerede personer.
- Identificerbare personer.
Derudover skelner man mellem:
- Almindelige personoplysninger
- Følsomme personoplysninger
Samt:
- Straffedomme og lovovertrædelser
- Cpr-nummer
- Fortrolige oplysninger
Du får en nærmere forklaring herunder.
Gratis GDPR kursus
Tilmeld dig GDPR.DK’s gratis kursus med +12 lektioner via mail.
Modtag GDPR.DK’s gratiskursus i din email. Se privatlivspolitik.
Hvornår omhandler oplysningen en person?
Identificerede personer
Personoplysninger er enhver information om en identificeret person. Hvis du har en persons navn, så er denne person identifceret. Mere er der faktisk ikke i dette.
Identificérbare personoplysninger
Personoplysninger er dog også enhver information om en identificérbar person. Hvis man kan finde frem til hvem en oplysning omhandler, så er dette en personoplysning.
Her er nogle oplysninger som kan bruges til at identificere en person (og som derfor er identificérbar):
- Identifikationsnummer
- IP-adresse
- Lokaliseringsdata
- Betalingsoplysninger
- etc.
Hvis man har ovenstående oplysninger om en person, så ville man kunne identificere vedkommende. Hvis det er muligt at identificere en person på nogen som helst måde via en information, så er dette en personoplysning.
Relaterede oplysninger om personen
De oplysninger, som kan tilknyttes en person, er også omfattet af persondataforordningen. Det skyldes, at disse oplysninger er med til at fortælle noget om denne person fx:
- Hobby
- Interesser
- Forbrugsmønstre
- Adfærd
- etc.
Jo flere oplysninger, som kan tilknyttes en person, desto større bliver behovet for at beskytte disse oplysninger.
Almindelige og følsomme personoplysninger
Din virksomhed må ikke behandle personoplysninger uden at have lov til dette. Du har ofte lov til at behandle personoplysninger, men du har muligvis ikke tænkt nærmere over det.
Hvis din virksomhed behandler følsomme personoplysninger, så skal I være særligt opmærksomme på hvordan, at I behandler disse personoplysninger. Derfor er det vigtigt at I ved hvilke personoplysninger, som I behandler om jeres kunder og medarbejdere.
Almindelige personoplysninger
Du har typisk ret til at behandle personoplysninger om en kunde, fordi at I netop indgår i en handelsrelation via en aftale/kontrakt.
Det følger naturligt af en handel, at det er nødvendigt at behandle personoplysninger til brug for at levere en vare eller ydelse til en kunde.
Eksempler på almindelige personoplysninger
- Navn
- Telefonnummer
- Adresse
- Betalingsoplysninger
- Etc.
Der er ikke de samme begrænsninger til behandlingen af almindelige personoplysninger, som der er ved behandlingen af følsomme personoplysninger.
Følsomme personoplysninger
Som hovedregel, så er det ikke tilladt at behandle følsomme personoplysninger om andre.
Dette er en regel med undtagelser.
En mulighed for at behandle følsomme personoplysninger er eksempelvis, hvis du har fået udtrykkeligt samtykke til at behandle disse oplysninger af vedkommende, og til et specifikt formål.
Du bør sikre dig, at du overholder disse regler ved at undersøge din konkrete behandling af personoplysninger.
Eksempler på følsomme oplysninger
- Race og etnisk tilhørsforhold
- Politik overbevisning
- Religiøs overbevisning
- Filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske data
- Biometriske data
- Helbredsoplysninger
- Seksuelle forhold og orientering
Straffedomme og lovovertrædelser
Din virksomhed må som udgangspunkt ikke behandle oplysninger om straffedomme eller lovovertrædelser.
I nogle tilfælde kan det være tilladt at behandle disse oplysninger fx hvis:
- En medarbejder har foretaget ulovligheder, så kan det være nødvendigt at politianmelde dette.
- Indhentning af straffeattest i forbindelse med ansættelse.
- Indhentning af børneattester.
CPR-numre
CPR-nummeret er ikke en følsom personoplysning, men der gælder særlige forhold for personnummeret, da dette er en fortrolig oplysning. Dette afspejler, at ingen af os har lyst til at dele vores CPR-nummer, hvis vi ikke føler, at der er en særlig grund til at dele denne oplysning.
Det er tilladt for en virksomhed at behandle en kundes CPR-nummer, hvis der er er særlig lovgivning for dette fx hvis man som bank eller arbejdsgiver skal indberette CPR-nummeret til SKAT. Hvis virksomheden har en saglig grund til at behandle kundens cpr-nummer, så kan virksomheden bede om kundens samtykke.
En saglig grund vil typisk være, at det er vigtigt for ydelsen til kunden, at kunden er korrekt identificeret. Eksempler herpå er:
- Abonnement med mobiltelefonselskab,
- Medlemskab af fitnesscenter
I begge tilfælde gælder, at der er behov for at sikre en entydig identifikation af kunden fx i forbindelse med indbetalinger. Alle overførsler af CPR-numre skal desuden ske krypteret fx via mails eller hjemmeside.
Fortrolige oplysninger
Persondataforordningen beskriver ikke de “fortrolige oplysninger”, men vi har formentlig alle lyst til at vores oplysninger i netbanken er lidt mere sikre end mange andre personoplysninger.
Dette er med til at fortælle os, at der også findes nogle oplysninger, som er “fortrolige”. Datatilsynet er derfor opmærksomme på hvordan fortrolige oplysninger behandles, og at disse beskyttes tilstrækkeligt.
Fortrolige oplysninger kan være indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, selvmordsforsøg og ulykkestilfælde. CPR-nummeret er også en fortrolig oplysning.