Hvad er personfølsomme oplysninger? Eller mere korrekt - følsomme personoplysninger?
Vi mødes tit af begrebet 'personfølsomme oplysninger', men hvad betyder det egentligt og er der forskel ifht. 'følsomme personoplysninger'?
Og hvordan er det lige med CPR-nummer, er det en følsom personoplysning?
Hvad er 'personfølsomme oplysninger'?
Først og fremmest er 'personfølsomme oplysninger' en forkert betegnelse i det lovmæssige regi. Det korrekte term er 'følsomme personoplysninger', men det er som om den "gamle" betegnelse hænger ved, for det er i hvert fald den der dagligt anvendes i medierne. Hvis vi skal være helt korrekte, så er den juridiske betegnelse 'særlige kategorier' af personoplysninger, som det er defineret i artikel 9 i databeskyttelsesforordningen.
Som nævnt læser og høre vi ofte i medierne, at journalister, m.v. omtaler de følsomme personoplysninger som "personfølsomme oplysninger". Der er dog en væsentlig forskel på de to begreber. Det 'personfølsomme' begreb bliver ofte knyttet sammen med det vi som personer selv synes er "følsomt", altså det der har betydning for os. Det er derfor vi ofte omtaler oplysninger som CPR nummer, lønoplysninger, familieforhold, kontonummer osv. som "personfølsomme", men i udgangspunktet falder alle disse i kategorien 'almindelige personoplysninger' jf. forordningen.
Begrebet 'følsomme personoplysninger' (særlige kategorier af personoplysninger) dækker over en udtømmende liste af kategorier, som er følsomme og som derfor kræver særlige hensyn, når vi som virksomhed, forening eller myndighed behandler dem. En personoplysning er kun følsom, hvis den falder ind under en af følgende kategorier:
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske eller biometriske data - med det formål entydigt at identificere en fysisk person
- Helbredsoplysninger
- Seksuelle forhold eller seksuelle orientering
Hvis en personoplysning ikke falder inden for en af disse kategorier, så er den i udgangspunktet en almindelig personoplysning.
I udgangspunktet er der forbudt at behandle følsomme personoplysninger
Definitionen på følsomme personoplysninger findes i databeskyttelsesforordningens (GDPR) artikel 9:
"Behandling af særlige kategorier af personoplysninger"
1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
Som det fremgår i sidste sætning, så er det i udgangspunktet forbudt at behandle personoplysninger, der tilhører den følsomme kategori.
Dog er der en række undtagelser til forbuddet bl.a. i artikel 9, stk. 2, litra a, hvis:
"Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger"
Det udtrykkelige samtykke sikre at personen er fuldt opmærksom på hvilke data der behandles og til hvilket formål, før personen giver sit samtykke.
(Artiklen fortsætter under billedet)
(Hvis du behandler følsomme personoplysninger, vil du højst sandsynlig skulle have samtykke. Du kan kontakte os for at høre nærmere om, hvordan du sikrer dig at få de korrekte samtykker).
Hvad skal du være opmærksom på, hvis du behandler følsomme personoplysninger?
Du skal som nævnt være opmærksom på, at det i udgangspunktet faktisk er forbudt at behandle følsomme personoplysninger!
Dog må du gerne alligevel behandle disse oplysninger, hvis behandlingen hører ind under en af undtagelserne.
I loven står der en del om, hvornår du alligevel gerne må behandle følsomme personoplysninger. Det er lidt komplekst og tørt at læse, og som oftest vil det være det udtrykkelige samtykke, som du skal benytte.
Du kan dog også overveje, om du allerede har lov (hjemmel) til behandlingen i en af undtagelserne, da du så ikke behøver samtykket. De væsentligste undtagelser i forordningen er:
- Der indhentes udtrykkeligt samtykke
- Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder
- Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser
- Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art
- Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede
- Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares
(For den fulde liste og definitioner, læs forordningens artikel 9 stk. 2.)
Hvis du behandler følsomme personoplysninger i forbindelse med et ansættelsesforhold, skal du være opmærksom på, at du muligvis også har en hjemmel i Databeskyttelseslovens §12, der generelt tillader en række behandlinger i forbindelse med et ansættelsesforhold, herunder overenskomster.
Vær opmærksom på fortroligheds- og sikkerhedsniveauet
Du skal ikke kun være opmærksom på, om det er følsomme personoplysninger eller ej. Du skal også være opmærksom på det, som man kan kalde for 'fortrolighedsniveauet'. Fortrolighedsniveauet betyder, at der er visse oplysninger, som du skal være mere opmærksomme på end andre.
Det kan for eksempel være oplysninger om personers økonomiske forhold, lønoplysninger, adresse eller lignende.
Da vil fortolighedsniveauet være højere, end hvis der for eksempel blot er tale om et nøglebriksnummer på en medarbejder.
Det betyder blot, at du skal foretage "passende organisatoriske og tekniske foranstaltninger" ud fra denne fortrolighedsvurdering.
Husk også at overholde reglerne for sletning, og hvor længe du må opbevare personoplysninger. Læs mere om dette i vores artikel om, hvor længe må man opbevare persondata.
Er CPR-nummer personfølsomme oplysninger?
Hvad så med CPR-nummer? Er CPR-nummeret også en følsom oplysning?
CPR-numre er ikke følsomme oplysninger ifølge GDPR. CPR-nummeret er en dansk konstruktion. Det er et dansk identifikationsnummer.
Det bør dog behandles som følsomme oplysninger efter persondataforordningen.
Det betyder, at hvis du behandler CPR-nr., skal du have udtrykkeligt samtykke.
Brug for mere hjælp til følsomme oplysninger?
Har du brug for mere hjælp til behandling af følsomme persondata?
Her hos Persondatakonsulenterne kan vi hjælpe dig. Hvad end det er til at kigge din artikel 30-fortegnelse igennem, hjælp med dataflow-analyse, holde foredrag eller have en komplet workshop med dig.
Du kan kontakte os her for at høre nærmere om, hvordan vi kan hjælpe dig:
DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.
Skrevet af: Lars Due Nielsen
Sådan registrerer du lovligt information om gæster på din restaurant under Corona