GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

ARTIKEL 4 & 9 I GDPR

Personoplysninger

Alle virksomheder, der behandler personoplysninger om personer, der befinder sig i EU/EØS, skal overholde EU’s generelle forordning om databeskyttelse (GDPR).

Definition af personoplysninger i henhold til GDPR

Noget meget centralt for at kunne overholde bestemmelserne i GDPR er forståelsen af, hvad personoplysninger er. Der findes mange forskellige typer og kategorier af personoplysninger ud over de mest oplagte personoplysninger. 

Definitionen af personoplysninger er fastsat i databeskyttelsesforordningens artikel 4, stk. 1. Personoplysninger er alle oplysninger, der direkte eller indirekte vedrører en identificeret eller identificerbar fysisk levende person. 

Desuden udgør en angivelse af et eller flere elementer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, også personoplysninger. 

Kort sagt dækker GDPR alle typer data, der kan identificere en fysisk levende person, både direkte og indirekte.

What breaches of the GDPR can lead to an administrative fine?

Hvem skal overholde GDPR?

Denne forordning trådte i kraft den 25. maj 2018 og finder anvendelse i alle EU-/EØS-lande. Alle virksomheder i EU, der behandler personoplysninger, skal overholde GDPR. Det gælder også i mange tilfælde for virksomheder, der er etableret uden for EU/EØS, herunder hvis de tilbyder tjenester eller varer, gratis eller mod betaling, til personer, der befinder sig inden for EU/EØS-området.  

Klare og mindre klare personoplysninger

Når det på en eller anden måde er muligt at knytte en opgave til en fysisk levende person, er det personoplysninger. Husk, at endnu mindre klare data kan betragtes som personoplysninger i henhold til GDPR. Det behøver ikke nødvendigvis at være en opgave, der kan knyttes direkte til en person, men det kan også gøres indirekte. 

Measures that companies need to take to comply with GDPR

Eksempler på indirekte personoplysninger

Hvis en person har et personligt buskort, der kan spærres, hvis de angiver kortnummeret på det tabte kort til transportfirmaet. For at transportvirksomheden kan vide, hvem kortet tilhører, har de et system, hvor det er klart, hvem kortet er registreret til. Med andre ord er det muligt at knytte kortnummeret til personen gennem en såkaldt bagdørsidentifikation. Kortnummeret anses derfor for at være personoplysninger. Det samme ræsonnement gælder også for registreringsnummeret på et køretøj, der ejes af en privatperson, som derfor også er personoplysninger i henhold til databeskyttelsesforordningen.

Eksempler på kategorier og typer af personoplysninger

  • Identifikationsdata: Navn, personnummer, pasnummer, kunde-id.
  • Kontaktoplysninger: Postadresse, e-mailadresse, telefonnummer.
  • Placeringsdata: IP-adresse, der er knyttet til en individuel GPS-koordinater.
  • Økonomiske faktorer: bankkontonummer, transaktions- og købshistorik, kreditvurdering.
  • Online-id: brugernavn på sociale medier, IMEI-nummer, MAC-adresse, enheds-id, cookies.
  • Andre personoplysninger: psykologdiagnose.
  • Fysiske faktorer: Fingeraftryk, genetiske data såsom DNA-prøver.
  • Fysiologiske faktorer: Puls målt af et smartwatch.

Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene

Alle virksomheder skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte de personoplysninger, de behandler. De foranstaltninger, der skal træffes, varierer afhængigt af situationen, f.eks. hvilke typer personoplysninger der er tale om. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene. 

For eksempel har virksomheder brug for stærkere beskyttelse, når de gemmer kreditkortoplysninger, end når de gemmer e-mail-adresser. Derudover kan virksomheden være nødt til at foretage en konsekvensanalyse, inden den begynder at udføre visse typer behandlinger.

Følsomme personoplysninger

Der findes visse særlige kategorier af personoplysninger, som i henhold til hovedreglen i databeskyttelsesforordningens artikel 9 er forbudt at behandle. Der er dog visse undtagelser fra den generelle regel. Disse særlige kategorier af personoplysninger benævnes undertiden “følsomme personoplysninger”. 

  • Data, der afslører oplysninger om følgende, udgør sådanne følsomme personoplysninger:
  • Etnisk oprindelse.
  • Politiske holdninger.
  • Religiøse eller filosofiske overbevisninger.
  • Medlemskab af fagforeninger.
  • Sundhedsdata (f.eks. blodtype, sygefravær osv.)
  • Seksuel orientering eller seksuelt liv.
  • Genetiske data.
  • Biometriske data (f.eks. ved anvendelse af biometriske data til AI-identifikation via CCTV).

Hvor behandling af følsomme personoplysninger er tilladt i henhold til GDPR

Behandling af følsomme personoplysninger er forbudt i henhold til den generelle regel i databeskyttelsesforordningens artikel 9, stk. 1. Databeskyttelsesforordningens artikel 9, stk. 2, opregner imidlertid 10 undtagelser fra hovedreglen, som fastsætter, hvornår det er tilladt at behandle følsomme personoplysninger:

Samtykke

den registrerede har givet sit samtykke til behandling af sine følsomme personoplysninger til et eller flere specifikke formål Dette gælder dog, forudsat at brugen af samtykke som retsgrundlag ikke er forbudt i henhold til national ret.

Arbejdsret og på områderne social sikring og social beskyttelse

behandlingen er nødvendig for udøvelsen af arbejdsgiverens eller den registreredes rettigheder og forpligtelser inden for arbejdsret, social sikring og social beskyttelse Dette er underlagt de fornødne garantier, der sikrer, at den registreredes grundlæggende rettigheder og interesser er fastlagt, og at behandlingen er tilladt i henhold til national ret eller kollektive overenskomster.

Beskyttelse af grundlæggende interesser

hvis den registrerede fysisk eller juridisk ikke er i stand til at give samtykke til behandlingen (f.eks. bevidstløs), men behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons liv

Organer, der ikke arbejder med gevinst for øje

Fonde, almennyttige foreninger eller andre almennyttige organer med et politisk, filosofisk, religiøst eller fagforeningsmæssigt formål har ret til at behandle følsomme personoplysninger, forudsat at behandlingen kun vedrører nuværende eller tidligere medlemmer eller personer, der har regelmæssig kontakt med dem på grund af organets formål. I sådanne tilfælde skal der indføres de fornødne garantier, og personoplysningerne må ikke videregives eksternt uden den registreredes samtykke.

Offentligt tilgængelige data

Hvis følsomme personoplysninger klart er offentliggjort af den registrerede, er behandling tilladt.

Retslige krav

Behandlingen er tilladt, hvis den er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Det samme gælder, hvis behandlingen udfører en del af domstolenes judicielle aktiviteter.

Vigtig offentlig interesse

Hvis behandlingen er nødvendig af hensyn til vigtige samfundsinteresser på grundlag af EU-retten eller national ret og står i et rimeligt forhold til formålet, er behandlingen tilladt. Der skal dog træffes passende og specifikke foranstaltninger for at beskytte den registreredes grundlæggende rettigheder og interesser.

Sundhed og social omsorg

Behandlingen er tilladt, hvis den er nødvendig til medicinske formål. For eksempel til vurdering af en arbejdstagers arbejdsevne, medicinsk diagnose, ydelse af sundhedspleje, behandling, social omsorg osv. Dette er forudsat, at behandlingen er tilladt i henhold til EU-retten eller national ret eller i henhold til kontrakter med sundhedsprofessionelle, og forudsat at oplysningerne behandles af fagfolk, der er underlagt en retlig tavshedspligt. Derudover skal der anvendes særlige sikkerhedsforanstaltninger, f.eks. kryptering og adgangskontrol.

Folkesundhed og medicinsk beskyttelse

Behandlingen kan udføres, hvis det er nødvendigt af hensyn til folkesundheden. F.eks. for at sikre beskyttelse mod alvorlige grænseoverskridende sundhedstrusler (f.eks. en pandemi). Dette gælder, hvis behandlingen er baseret på EU-retten eller national ret. Desuden skal der være indført specifikke garantier for at sikre beskyttelsen af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.

Forskning, statistik og arkivering:

  • Behandlingen er tilladt, hvis den er nødvendig for:
  • Arkiveringsformål i offentlighedens interesse (f.eks. opbevaring af offentlige eller historiske optegnelser).
  • Videnskabelig forskning (f.eks. medicinske undersøgelser)
  • Historisk forskning (f.eks. undersøgelser af kultur eller historiske begivenheder) eller
  • Statistiske formål (f.eks. analyse af tendenser i samfundet gennem statistikker)

Dette gælder, forudsat at behandlingen understøttes af EU-retten eller den nationale lovgivning i den pågældende medlemsstat. Behandlingen skal dog stå i et rimeligt forhold til formålet med behandlingen, respektere det væsentligste indhold af retten til databeskyttelse og være underlagt garantier for at beskytte den registreredes grundlæggende rettigheder og interesser.

Virksomhedsoplysninger er normalt ikke personoplysninger

Bemærk venligst, at et virksomhedsregistreringsnummer ikke udgør personoplysninger. Virksomhedsdata er normalt ikke omfattet af GDPR. Det kan dog være personoplysninger, hvis de vedrører en enkeltmandsvirksomhed, i tilfælde hvor virksomhedsidentifikationsnummeret er det samme som ejerens personidentifikationsnummer. 

I nogle tilfælde kan et registreringsnummer på en bil være personoplysninger, og i andre tilfælde er det ikke. Hvis ejeren af bilen f.eks. er en virksomhed, er det ikke personoplysninger. Men hvis bilejeren er en privatperson, er det i stedet personoplysninger i henhold til GDPR.

Flere betingelser

Det er vigtigt at være opmærksom på, at en medlemsstat kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, med hensyn til behandling af genetiske, biometriske eller sundhedsmæssige data. Dette fremgår af databeskyttelsesforordningens artikel 9, stk. 4. Bestemmelserne i den generelle forordning om databeskyttelse danner således grundlag for og minimumskrav, og det er derfor vigtigt, at virksomhederne også er opmærksomme på eventuelle uoverensstemmelser, der gælder i de enkelte relevante medlemsstater.

Flere oplysninger om det juridiske og juridiske grundlag for GDPR

Kontrakt med registrerede er et andet retsgrundlag

Virksomheder har ret til at behandle personoplysninger, der er nødvendige for opfyldelsen af en kontrakt med den registrerede. Dette er et andet retsgrundlag for GDPR. En virksomhed, der udfører e-handel, kan behandle kundens kontaktoplysninger med henblik på at levere produkterne til kunden. Virksomheden har dog ikke ret til at behandle flere personoplysninger, end hvad der er nødvendigt for opfyldelsen af kontrakten.

Vil du lære mere?

Læs mere
Scroll to Top