Kendskab til GDPR
Personlige identitetsnumre er yderligere personoplysninger, der er beskyttelsesværdige
Personnumre er yderligere personoplysninger, der fortjener beskyttelse, men de er ikke klassificeret som følsomme personoplysninger i henhold til artikel 9 i GDPR. Vær dog opmærksom på, at reglerne herfor kan være forskellige fra medlemsstat til medlemsstat.
Samtykke er normalt nødvendigt for at behandle socialsikringsnumre
I de fleste tilfælde skal en virksomhed indhente gyldigt samtykke fra den registrerede for at behandle hans eller hendes personlige identitetsnummer. Der er dog undtagelser. For eksempel, hvis det er nødvendigt at udføre behandlingen for en sikker identifikation.
For eksempel, når en person ringer til sin bank og skal identificere sig selv via et såkaldt Mobile Bank ID, og opkaldet registreres, hvor den, der ringer op, mundtligt indtaster sit personlige ID-nummer til bankmanden.
Særlige regler og love
Der kan være særlige regler og love, der tillader en aktør at behandle personlige identifikationsnumre, selv når personlige identifikationsnumre er særligt beskyttelsesværdige. I sådanne tilfælde finder behandlingen af personoplysningsnummeret sted på grundlag af en retlig forpligtelse som retsgrundlag i henhold til artikel 6, stk. 1, litra c), i GDPR.
Reglerne for behandling af personnumre kan variere afhængigt af medlemsstaten
De lande, hvor GDPR finder anvendelse, kan have forskellige regler for behandling af personnumre. I Sverige er personnumre offentlige data. Personlige identifikationsnumre fremgår af offentlige dokumenter såsom folkeregistreringsoplysninger, erklæringer osv. Kort sagt betyder det, at enhver kan anmode om et personligt identifikationsnummer fra en myndighed i Sverige, forudsat at der ikke er nogen særlig hemmeligholdelse i det enkelte tilfælde. Dette gælder både socialsikringsnumre og koordineringsnumre. Dette er imidlertid en af de sjældne ting i EU’s medlemsstater.
Reglerne kan være forskellige i de forskellige EU-lande
I Finland er reglerne helt anderledes, hvor en person, der ønsker at få adgang til sit eget personlige identifikationsnummer, endda skal identificere sig med en bestemt myndighed (sandsynligvis med et ID fra et andet land, da det personlige identifikationsnummer fremgår af det finske ID-dokument). Med andre ord kan andre i samfundet ikke få en anden persons socialsikringsnummer.
Undgå at afsløre socialsikringsnumre eller koordineringsnumre
Hvis personnummeret er yderligere personoplysninger, der er beskyttelsesværdige i et EU-land, hvor det behandles, bør det pågældende personnummer eksponeres så lidt som muligt. Med andre ord bør du ikke medtage personnummeret på f.eks. et kuvertvindue, der er synligt, i emnelinjen i en e-mail osv.
Det er godt at foretage en konsekvensanalyse inden behandlingen af socialsikringsnumre eller koordineringsnumre
Da personnumre er særligt beskyttelsesværdige såvel som personoplysninger, der er følsomme over for privatlivets fred, kan det være hensigtsmæssigt at foretage en konsekvensanalyse, inden behandlingen foretages.
Kan arbejdsgivere behandle deres medarbejderes personlige identitetsnumre?
Det korte svar på spørgsmålet er, at det afhænger af omstændighederne. Hvis behandlingen er berettiget i forhold til formålet, er det tilladt for arbejdsgivere at behandle deres medarbejderes personnumre. Det er dog vigtigt at huske på ikke at afsløre personlige identifikationsnumre unødigt, da personlige identifikationsnumre er særligt beskyttelsesværdige.
Eksempler på, hvornår det kan være hensigtsmæssigt at behandle medarbejdernes personnumre
Er relateret til lønstyring.
Eksempler på, hvornår det ikke er hensigtsmæssigt at behandle medarbejdernes sociale sikringsnumre
Er hvis arbejdsgiveren udskriver personlige ID-numre på de ansatte på vagt lister.
Det er også godt at undgå at bruge personnummeret som brugernavn på forskellige systemer, som medarbejderne bruger i deres arbejde, da det er vanskeligt at retfærdiggøre behandlingen i henhold til GDPR.
Flere oplysninger om GDPR
Subjektive data, der er følsomme over for privatlivets fred
Databeskyttelsesforordningen regulerer klart følsomme personoplysninger (databeskyttelsesforordningens artikel 9) og personoplysninger vedrørende straffedomme og lovovertrædelser (databeskyttelsesforordningens artikel 10). Det samme gælder dog ikke for subjektivt privatlivsfølsomme oplysninger, som i nogle tilfælde kan være vanskeligere at definere. Eksempler på subjektive privatlivsfølsomme data er lokaliseringsdata (GPS) og bankkontooplysninger. Kort sagt henviser subjektivt privatlivsfølsomme data til data, der kan føles privatlivsfølsomme for den registrerede. Det drejer sig med andre ord om den registreredes erfaringer. Sådanne oplysninger behandles med et højere sikkerhedsniveau end f.eks. navne eller andre “almindelige personoplysninger”.