Opbevaring af følsomme personoplysninger - læs om, hvordan du skal gøre

Opbevaring af følsomme personoplysninger. Hvordan er reglerne i bl.a. GDPR og databeskyttelsesforordningen? Hvad er følsomme personoplysninger overhoved? Og hvordan er reglerne for følsomme personoplysninger via mail?

Vi ved alle, at vi skal passe på, hvis vi opbevarer følsomme personoplysninger. 

Men hvad betyder det helt præcist?

Reglerne står beskrevet i bl.a. GDPR (også kaldet databeskyttelsesforordningen) og databeskyttelsesloven. 

Hvis du har brug for mere hjælp til GDPR efter at have læst denne artikel, er du velkommen til at kontakte os.

Læs om reglerne herunder. 

Opbevaring af følsomme personoplysninger

Siden 25. maj 2018 har der været væsentlig strengere krav til opbevaring af følsomme personoplysninger.

Det sker efter, at den såkaldte 'databeskyttelsesforordning' (også kaldet GDPR) har fået virkning og fremover skal overholdes.

Det er en slags 'lov' fra EU, som bestemmer, hvordan virksomheder, organisationer og lignende skal behandle personoplysninger.

Loven indeholder blandt andet nogle regler for, hvordan du i en virksomhed eller organisation, som har kunder eller lignende EU skal opbevare, videresende osv., følsomme persondata.

Men hvad er følsomme personoplysninger overhovedet?

(Artiklen fortsætter under billedet...)

Hvis du opbevarer følsomme personoplysninger, skal du overholde reglerne i GDPR og databeskyttelsesforordningen. Reglerne er svære og komplekse. Du kan læse mere om reglerne længere nede.

Hvad er følsomme personoplysninger?

Inden vi kigger nærmere på reglerne for opbevaring af følsomme personoplysninger, er det først nødvendigt at vide, hvad følsomme personoplysninger (blandt folkemunde betegnet som 'personfølsomme oplysninger') overhovedet er ifølge GDPR/databeskyttelsesforordningen. Læs mere her om forskellen på personfølsomme oplysninger og følsomme personoplysninger.

I GDPR bliver der faktisk slet ikke nævnt noget om følsomme personoplysninger. I GDPR kaldes følsomme oplysninger for personoplysninger af den særlige kategori.  

De fleste tror, at det kun er CPR-nummer, dankortoplysninger og lignende, der er tale om, når vi snakker følsomme oplysninger.

Det er dog ikke tilfældet. Faktisk er eksemplerne om CPR-nummer og kortoplysninger slet ikke nævnt i GDPR.

De følsomme oplysninger, eller den særlige kategori, som den kaldes, er nævnt i artikel 9 i databeskyttelsesforordningen/GDPR.

Her er nævnt følgende personoplysninger som følsomme oplysninger:

• Race eller etnisk oprindelse
• Politisk, religiøs eller filosofisk overbevisning
• Fagforening
• Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person
• Helbredsoplysninger
• Seksuelle forhold eller seksuelle orientering​

(Artiklen fortsætter under billedet...)

Helbredsoplysninger er for eksempel en følsom personoplysning. Dermed er der særlige regler for, hvordan de oplysninger må opbevares.

Men hvad så med CPR-nummeret? Er et CPR-nummer en følsom oplysning?

CPR-nummeret er en dansk konstruktion, da det er et ID-nummer som kun findes i Danmark. Derfor står der ikke noget om CPR-numre i persondataforordningen. 

Derfor skal man i stedet kigge i det, der før hed persondataloven. Denne lov kaldes nu i stedet for databeskyttelsesloven.

Her står der i § 11 følgende:

• Offentlige myndigheder må gerne bruge CPR-nummer, hvis de skal kunne identificere en borger eller som deres journalnummer
• Private må kun bruge CPR-nummer, hvis det står i loven, eller hvis de har fået samtykke (i visse tilfælde også til videnskabellige eller statistiske formål)

Der står nemlig helt præcist i databeskyttelsesloven § 11:

"§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lovgivningen,

2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller"

Derfor anbefales det, at man behandler CPR-nummeret som en følsom personoplysning.

Men hvordan er reglerne for opbevaring af disse følsomme personoplysninger så? Læs med herunder.

Regler for opbevaring af følsomme personoplysninger

Hvis du behandler følsomme personoplysninger, skal du overholde reglerne i forordningen om dette.

Ifølge forordningen er behandling af følsomme oplysninger faktisk ulovlig. Det betyder, at du faktisk slet ikke må opbevare følsomme oplysninger.

Der er dog nogle undtagelser til dette.

Den vigtigste undtagelse er, at du gerne må behandle følsomme oplysninger, hvis du får udtrykkeligt samtykke til det fra den registrerede.

Der står nemlig i GDPR artikel 9, stk. 2 (a):

"a)  Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål"

Men hvad betyder det, at du skal have udtrykkeligt samtykke? Læs med herunder.

Udtrykkeligt samtykke hvis du opbevarer følsomme oplysninger

Der står, som nævnt i forordningen, at hvis du behandler følsomme oplysninger (dem, som er nævnt i artikel 9, og som også kaldes for den særlige kategori), skal du have udtrykkeligt samtykke.

Men hvad betyder det, at du skal have udtrykkeligt samtykke?

Først og fremmest betyder det, at du skal overholde de almindelige regler for samtykke. Du skal sikre dig, at samtykket er en aktiv, frivillig og utvetydig viljestilkendegivelse. Derudover skal samtykket være:

• Frivilligt
• Informeret
• Specifikt
• Utvetydigt

Du kan læse mere om disse generelle krav til samtykke i vores artikel om samtykke.

Men hvad vil det sige, at det skal være udtrykkeligt?

Det er ikke nærmere defineret i GDPR, hvad der menes med udtrykkeligt. Det betyder dog, at du skal være ekstra opmærksom på, at du får indhentet samtykket, og samtykket overholder reglerne og kravene.

Følsomme personoplysninger via mail

Men hvad så med følsomme personoplysninger via mail? Må man gerne det? Eller hvilke krav er der til dette?

Førhen var der meget tvivl om, hvorvidt man måtte sende følsomme oplysninger via e-mail. Dette har Datatilsynet dog været ude og sige, at det må man gerne, men det skal være via beskyttet mail - så det er krypteret e-mail.

Datatilsynet har nemlig i en meddelelse fra 23.07.2018 meddelt, at de vil skærpe deres praksis omkring sikker mail ved behandling af følsomme personoplysninger via mail. Hvor det før kun var offentlige myndigheder, der skulle bruge sikker mail, er det nu også alle private (private virksomheder, organisationer osv.), hvis der bliver sendt følsomme personoplysninger.

Datatilsynet har oplyst, at de vil håndhæve reglerne for sikker mail ved følsomme personoplysninger via mail fra d. 01.01.2019. Det betyder, at hvis du ikke sender følsomme oplysninger via mail krypteret, kan du risikere at få bøde fra Datatilsynet.

Du kan læse mere om reglerne for følsomme personoplysninger via mail i vores artikel om e-mails med følsomme oplysninger.

Brug for mere hjælp til GDPR?

Har du brug for mere hjælp til reglerne for opbevaring af følsomme personoplysninger?

Her hos Persondatakonsulenterne kan vi hjælpe dig med reglerne i GDPR og databeskyttelsesforordningen. Vi kan hjælpe dig med dine juridiske problemstillinger og udfordringer og kan desuden hjælpe med det tekniske, som skal til for at kunne overholde GDPR.

Vi kan både hjælpe med reglerne for opbevaringen af følsomme oplysninger, men også med at sikre, at din organisation bliver compliant og overholder persondatareglerne.

Du kan kontakte os herunder for at høre mere om, hvordan vi kan hjælpe dig:

Kontakt os her for at få hjælp til GDPR 

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af databeskyttelsesforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.