Hvad er personoplysninger?


Hvad er personoplysninger?


Persondataforordningen omhandler personoplysninger, samt hvad man gør med disse i virksomheden. Så hvad er personoplysninger? Dette er det allermest basale i lovgivningen, men kan faktisk være en smule indviklet, og særligt hvis man ikke er vant til jura-sprog. Helt generelt, så kan personoplysninger være om:

  • Identificerede personer.
  • Identificerbare personer.

Derudover skelner man mellem:

  • Almindelige personoplysninger
  • Følsomme personoplysninger
  • Samt:
  • Straffedomme og lovovertrædelser
  • Cpr-nummer
  • Fortrolige oplysninger

Du får en nærmere forklaring herunder.

Hvornår omhandler oplysningen en person?

Identificerede personer

Personoplysninger er enhver information om en identificeret person. Hvis du har en persons navn, så er denne person identifceret. Mere er der faktisk ikke i dette.

Identificérbare personoplysninger

Personoplysninger er dog også enhver information om en identificérbar person. Hvis man man kan finde frem til hvem en oplysning omhandler, så er dette en personoplysning. Her er nogle oplysninger som kan bruges til at identificere en person (og som derfor er identificérbar):

  • Identifikationsnummer
  • IP-adresse
  • Lokaliseringsdata
  • Betalingsoplysninger
  • etc.

Hvis man har ovenstående oplysninger om en person, så ville man kunne identificere vedkommende. Hvis det er muligt at identificere en person på nogen som helst måde via en information, så er dette en personoplysning.

Relaterede oplysninger om personen

De oplysninger, som kan tilknyttes en person, er også omfattet af persondataforordningen. Det skyldes, at disse oplysninger er med til at fortælle noget om denne person fx:

  • Hobby
  • Interesser
  • Forbrugsmønstre
  • Adfærd
  • etc.

Jo flere oplysninger, som kan tilknyttes en person, desto større bliver behovet for at beskytte disse oplysninger.

Almindelige og følsomme personoplysninger

Din virksomhed må ikke behandle personoplysninger uden at have lov til dette. Du har ofte lov til at behandle personoplysninger, men du har muligvis ikke tænkt nærmere over det. Hvis din virksomhed behandler følsomme personoplysninger, så skal I være særligt opmærksomme på hvordan, at I behandler disse personoplysninger. Derfor er det vigtigt at I ved hvilke personoplysninger, som I behandler om jeres kunder og medarbejdere.

Almindelige personoplysninger

Du har typisk ret til at behandle personoplysninger om en kunde, fordi at I netop indgår i en handelsrelation via en aftale/kontrakt. Det følger naturligt af en handel, at det er nødvendigt at behandle personoplysninger til brug for at levere en vare eller ydelse til en kunde.

Eksempler på almindelige personoplysninger

  • Navn
  • Mail
  • Telefonnummer
  • Adresse
  • Betalingsoplysninger
  • Etc.

Der er ikke de samme begrænsninger til behandlingen af almindelige personoplysninger, som der er ved behandlingen af følsomme personoplysninger.

Følsomme personoplysninger

Som hovedregel, så er det ikke tilladt at behandle følsomme personoplysninger om andre. Dette er en regel med undtagelser. En mulighed for at behandle følsomme personoplysninger er eksempelvis, hvis du har fået udtrykkeligt samtykke til at behandle disse oplysninger af vedkommende, og til et specifikt formål. Du bør sikre dig, at du overholder disse regler ved at undersøge din konkrete behandling af personoplysninger.

Eksempler på følsomme oplysninger

  • Race og etnisk tilhørsforhold
  • Politik overbevisning
  • Religiøs overbevisning
  • Filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske data
  • Biometriske data
  • Helbredsoplysninger
  • Seksuelle forhold og orientering

 

Straffedomme og lovovertrædelser

Din virksomhed må som udgangspunkt ikke behandle oplysninger om straffedomme eller lovovertrædelser. I nogle tilfælde kan det være tilladt at behandle disse oplysninger fx hvis:

  • En medarbejder har foretaget ulovligheder, så kan det være nødvendigt at politianmelde dette.
  • Indhentning af straffeattest i forbindelse med ansættelse.
  • Indhentning af børneattester.

 

CPR-numre

CPR-nummeret er ikke en følsom personoplysning, men der gælder særlige forhold for personnummeret, da dette er en fortrolig oplysning. Dette afspejler, at ingen af os har lyst til at dele vores CPR-nummer, hvis vi ikke føler, at der er en særlig grund til at dele denne oplysning. Det er tilladt for en virksomhed at behandle en kundes CPR-nummer, hvis der er er særlig lovgivning for dette fx hvis man som bank eller arbejdsgiver skal indberette CPR-nummeret til SKAT. Hvis virksomheden har en saglig grund til at behandle kundens cpr-nummer, så kan virksomheden bede om kundens samtykke. En saglig grund vil typisk være, at det er vigtigt for ydelsen til kunden, at kunden er korrekt identificeret. Eksempler herpå er:

  • Abonnement med mobiltelefonselskab,
  • Medlemskab af fitnesscenter

I begge tilfælde gælder, at der er behov for at sikre en entydig identifikation af kunden fx i forbindelse med indbetalinger. Alle overførsler af CPR-numre skal desuden ske krypteret fx via mails eller hjemmeside.

Fortrolige oplysninger

Persondataforordningen beskriver ikke de “fortrolige oplysninger”, men vi har formentlig alle lyst til at vores oplysninger i netbanken er lidt mere sikre end mange andre personoplysninger. Dette er med til at fortælle os, at der også findes nogle oplysninger, som er “fortrolige”. Datatilsynet er derfor opmærksomme på hvordan fortrolige oplysninger behandles, og at disse beskyttes tilstrækkeligt. Fortrolige oplysninger kan være indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, selvmordsforsøg og ulykkestilfælde. CPR-nummeret er også en fortrolig oplysning.


GDPR.DK Services

Har du brug for for hjælp med din virksomheds GDPR? Læs mere om vores services og hvordan vi kan hjælpe.