Personhenførbare data - hvad er det? Læs svaret her
Personhenførbare data - hvad er det? Personhenførbare data kaldes også for personhenførbare oplysninger. Eller bare personoplysninger. Læs mere om, hvad du skal være opmærksom på herunder.
I denne artikel kan du læse mere om, hvad personhenførbare data er. Du kan få svar på spørgsmål såsom hvad er personoplysninger, hvad er almindelige oplysninger, hvad er følsomme personoplysninger og meget mere.
Du kan læse hele artiklen herunder.
Hvis du har brug for hjælp til GDPR, er du velkommen til at kontakte os her:
Personhenførbare data
Personhenførbare data kaldes også for personhenførbare oplysninger.
Hvad er personhenførbare data så?
Det er personoplysninger, der kan henføres til en person. Disse kaldes også for personoplysninger. Det er oplysninger, der kan identificere en person. Det betyder, at via disse informationer, kan du direkte eller indirekte identificere en person.
Men hvad er personoplysninger så?
Hvad er personoplysninger?
Der er en definition på begrebet personoplysning i persondataforordningen, som også kaldes for databeskyttelsesforordningen eller GDPR.
Der står i lovens artikel 4 om personoplysninger:
"enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator"
Derudover nævner loven også nogle eksempler på personoplysninger - altså personhenførbart data. Der står bl.a., at personoplysninger kan være:
- Navn
- Identifikationsnummer
- Lokaliseringsdata
- Onlineidentifikator
- Et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
Det skal desuden nævnes, at personoplysninger desuden kan være:
- Adresse
- IP-adresse
- Nøglebriksnummer
- Medarbejderkortnummer
- E-mailadresse
I GDPR inddeles personoplysninger i nogle forskellige 'kategorier'. Der findes følgende kategorier:
- Almindelige personoplysninger
- Følsomme personoplysninger (oplysninger af den særlige kategori)
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
(Artiklen fortsætter under billedet...) Navn, adresse og telefonnummer er 'almindelige oplysninger'. Hvis du behandler disse oplysninger i din organisation, skal du overholde reglerne i GDPR. Ellers kan du risikere at få bøder fra Datatilsynet.
Lad os se lidt nærmere på de forskellige kategorier.
Almindelige personoplysninger
Almindelige personoplysninger er dem, som hverken er i den særlige kategori (følsom) eller er oplysning om straffedomme, lovovertrædelser eller lignende.
Almindelige oplysninger er derfor:
- Navn
- Adresse
- E-mailadresse
- Ansøgning
- CV
- Billede
Altså alt der er personhenførbart - alt der kan identificere en person, og som ikke er af den særlige kategori eller er oplysninger om straffedomme. Oplysninger der er indirekte identificerbare er også personoplysninger. For eksempel kan alder være en personoplysning. Hvis alder kobles sammen med en anden oplysning som for eksempel ansættelsessted, kan man indirekte identificere en person, og derfor er alder altså også en personoplysning.
Selvom du 'kun' behandler almindelige personoplysninger, skal du stadig være opmærksom på, at du kun må behandle disse lovligt. Kravene i GDPR gælder nemlig stadig.
Det betyder, at du skal overholde de 6 principper i GDPR og for eksempel kun må behandle dem, hvis du gør det efter loven (for eksempel via samtykke eller det, man kalder for 'legitim interesse').
Du skal desuden huske at skrive alle potentielle personoplysning, som du kan modtage, ned i artikel 30-fortegnelsen.
Du kan læse mere om, hvordan du overholder loven i vores artikel om, hvad er GDPR.
Hvad så med følsomme personoplysninger?
Følsomme personoplysninger
Følsomme personoplysninger kaldes også bare for følsomme oplysninger. I forordningen taler man om 'særlige kategorier af personoplysninger'.
De følsomme personoplysninger bliver nævnt direkte i lovteksten. De nævnte personoplysninger i artikel 9 er:
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetiske data
- Biometriske data med henblik på entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
Hvad skal man så være opmærksom på vedrørende følsomme personoplysninger?
I lovteksten står der faktisk, at det er forbudt at behandle disse personoplysninger. Dog er der en række undtagelser til dette, som gør, at du alligevel gerne må behandle dem.
Du må for eksempel gerne behandle følsomme persondata, hvis du overholder ét af følgende:
- Der indhentes udtrykkeligt samtykke
- Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder
- Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke
- Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede
- Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol
Den mest anvendte undtagelse er at indhente samtykke. Det betyder, at du får lov for vedkommende til at behandle oplysningerne. Du skal kunne påvise, at du har fået samtykke. Samtykket skal desuden være frivilligt, informeret, specifikt og utvetydigt.
(Artiklen fortsætter under billedet...)
Det er som udgangspunkt ulovligt at behandle følsomme oplysninger. Dog må du alligevel gerne behandle disse oplysninger, hvis du fx indhenter et udtrykkeligt samtykke. Det betyder, at du skal have lov først.
Lad os give et eksempel på, hvornår der skal indhentes udtrykkeligt samtykke:
Eksempel: Marketing ApS har i forbindelse med en spørgskemaundersøgelse for en fagforening lavet en liste med navn, alder og personers fagforeningsmæssige tilhørsforhold. I denne situation skal Marketing ApS indhente samtykke de dem, som deltager i spørgeskemaundersøgelsen for at sikre, at de overholder loven. Ellers vil det kunne være ulovligt og medføre bøder.
Du kan læse mere om følsomme oplysninger i vores artikel om hvad er personfølsomme oplysninger og hvad er følsomme personoplysninger.
Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
Der er særlige regler for oplysninger om straffedomme og lovovertrædelser.
Hvis du behandler sådanne oplysninger, skal du være opmærksom på reglerne i GDPR.
Der står i lovteksten (i artikel 10):
"Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed."
Hvis du har brug for hjælp til en nærmere forklaring omkring behandling af oplysninger vedrørende straffedomme og lovovertrædelser, er du velkommen til at kontakte os.
Hvis du handler med erhvervsdrivende, behandler du også personoplysninger
Lige en hurtig afklaring: selvom du kun handler b2b eller til andre virksomheder, skal du alligevel overholde GDPR.
I forbindelse med snakken om personhenførbare data og personoplysninger, er der mange, der siger:
"Jeg handler kun med virksomheder - altså b2b - derfor behandler jeg ikke personoplysninger. Det er jo kun virksomheder. Derfor behøves jeg ikke skulle sætte mig ind i GDPR osv."
I 99% af tilfældene behandler alle virksomheder personoplysninger.
Lige så snart du bruger en e-mailadresse og har korrespondance med dine kunder, vil du med al sandsynlighed behandle personoplysninger. Af e-mailkorrespondancerne med kunderne vil der fremgå navn og typisk også en e-mailadresse. Begge dele er personhenførbare, og dermed er det personoplysninger.
Så selvom du kun handler med virksomheder, skal du stadig overholde reglerne i persondataforordningen.
Få hjælp til personhenførbare data og GDPR
Har du brug for mere hjælp til personhenførbare data eller bare GDPR generelt?
Så er du velkommen til at kontakte os. Vi på Persondatakonsulenterne beskæftiger os udelukkende med GDPR og persondata. Dermed er du sikker på at få kompetent rådgivning, der kan gøre dig "compliant".
Vi rådgiver både inden for juraen og det juridiske, men har samtidig også en IT-vinkel og kan sætte os ind i systemerne og processerne.
Du kan kontakte os her for at høre nærmere om, hvordan vi kan hjælpe dig:
DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.
Skrevet af: Lars Due Nielsen
Sådan registrerer du lovligt information om gæster på din restaurant under Corona