GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Oplysninger om personoplysninger

Personoplysninger, der er følsomme over for privatlivets fred

Der er fire grupper af personoplysninger, der er følsomme over for privatlivets fred, men kun to af dem er underlagt særlige bestemmelser i GDPR. Ved behandling af personoplysninger, der er følsomme over for privatlivets fred, er reglerne strengere. 

Fire grupper af personoplysninger, der er følsomme over for privatlivets fred

De fire grupper af personoplysninger, der er følsomme over for privatlivets fred, er:

  1. Følsomme personoplysninger (artikel 9 i GDPR)
  2. Straffedomme og lovovertrædelser (artikel 10 i GDPR) 
  3. personligt identifikationsnummer og 
  4. Subjektive data, der er følsomme over for privatlivets fred.

Kan virksomheder behandle følsomme personoplysninger i henhold til GDPR?

Følsomme personoplysninger er en af de grupper af personoplysninger, der er følsomme over for privatlivets fred. Desuden er følsomme personoplysninger omfattet af særlige bestemmelser i GDPR, hvor de benævnes “særlige kategorier af personoplysninger”. Behandlingen af disse særlige kategorier af personoplysninger er forbudt i henhold til den generelle regel i artikel 9 i GDPR, men der er nogle undtagelser. Det er ikke ualmindeligt, at virksomheder behandler følsomme personoplysninger. 

Udtrykkeligt samtykke

Hvis en virksomhed indhenter udtrykkeligt samtykke fra den registrerede til at behandle følsomme personoplysninger om vedkommende, kan behandlingen være tilladt i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra a).

What breaches of the GDPR can lead to an administrative fine?

De seks retsgrundlag

  • Samtykke
  • Kontrakter med registrerede
  • Legitim interesse
  • Retlig forpligtelse
  • Beskyttelse af grundlæggende interesser
  • Udøvelse af offentlig myndighed og angivelse af offentlighedens interesse

Oplysninger, der afslører følgende om en person, udgør de særlige kategorier af personoplysninger:

  1. racemæssig eller etnisk oprindelse 
  2. politiske holdninger 
  3. religiøse eller filosofiske overbevisninger,
  4. medlemskab af fagforeninger 
  5. genetiske data 
  6. biometriske data til entydig identifikation af en fysisk person 
  7. sundhed og
  8. Seksuelt liv eller seksuel orientering.

Arbejdsgivere behandler normalt sundhedsdata

Arbejdsgivere skal normalt behandle oplysninger om medarbejdernes helbred, f.eks. sygefravær, som udgør følsomme personoplysninger. Vær opmærksom på, at f.eks. en lønseddel med oplysninger om sygefravær derfor ikke skal sendes via ukrypteret e-mail, da den ikke er sikker nok. Retsgrundlaget for behandlingen er normalt en arbejdsretlig forpligtelse baseret på undtagelsen i artikel 9, stk. 2, litra b). 

Personoplysninger om straffedomme og lovovertrædelser

Selv om personoplysninger vedrørende lovovertrædelser ikke udgør særlige kategorier af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 9, har denne type personoplysninger et højere beskyttelsesniveau end andre personoplysninger. 

Hvilke typer oplysninger udgør personoplysninger om lovovertrædelser?

  • Begåede lovovertrædelser 
  • Mistanke om kriminalitet, 
  • Domme i straffesager, og
  • Strafferetlige tvangsforanstaltninger (f.eks. varetægtsfængsling eller rejseforbud).
Sensitive personal data according to GDPR
Kan virksomheder gemme personoplysninger om overtrædelser af loven med henblik på retskrav?

Ja, en virksomhed kan i visse tilfælde behandle personoplysninger om overtrædelser af loven med henblik på at forfølge retskrav. For eksempel, hvis en bank har mistanke om, at en kunde er involveret i hvidvaskning af penge. Retsgrundlaget i sådanne tilfælde er en retlig forpligtelse, da banken i henhold til loven har en retlig forpligtelse til at undersøge og eventuelt foretage en anmeldelse, hvis mistanken varer ved.

Databeskyttelsesmyndighederne kan træffe afgørelse om generelle og individuelle undtagelser

Databeskyttelsesforordningen har givet de nationale databeskyttelsesmyndigheder beføjelse til at indrømme private parter generelle undtagelser for behandling af personoplysninger om overtrædelser af lovgivningen. I Sverige har den nationale databeskyttelsesmyndighed f.eks. indrømmet undtagelser for aktiviteter, der udøves af advokater og whistleblowere, som har en ledende stilling eller en vigtig stilling. Desuden kan en individuel privat aktør indrømmes en undtagelse efter en ansøgning om at foretage en sådan behandling. 

Personnummer er personoplysninger, der er følsomme over for privatlivets fred

Databeskyttelsesforordningen indeholder ingen særlige bestemmelser om behandling af personnumre. På den anden side er de særligt beskyttelsesværdige i de fleste EU-medlemsstater. Personnumre udgør imidlertid ikke følsomme personoplysninger som omhandlet i databeskyttelsesforordningens artikel 9. 

Reglerne kan være meget forskellige fra den ene medlemsstat til den anden.

I Sverige er personnumre et offentligt dokument, som alle kan få fat i, hvilket ikke er almindeligt i andre lande. I Finland er det personlige identifikationsnummer i stedet personoplysninger, som kun myndigheder, der har brug for det i deres arbejde, og den person, som det personlige identifikationsnummer tilhører, kan indhente. 

Subjektive data, der er følsomme over for privatlivets fred

Der er mange personoplysninger, der er klassificeret som subjektivt privatlivsfølsomme oplysninger. Med andre ord udgør personoplysninger, som den registrerede oplever, et brud på privatlivets fred, hvis de behandles af en anden. F.eks. lokaliseringsoplysninger (GPS), bankkontooplysninger og lignende. Der er regler for behandling af sådanne typer personoplysninger, selv om der ikke er nogen specifik bestemmelse i GDPR, der regulerer dette. 

Når en virksomhed anmelder et brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed, skal den bl.a. angive, om bruddet indebærer en sådan form for subjektivt privatlivsfølsomme personoplysninger. Derudover kan det være nødvendigt at foretage en konsekvensanalyse, inden virksomheden begynder at behandle subjektivt privatlivsfølsomme oplysninger.

Mere viden om personoplysninger

Personoplysningers livscyklus

Der er tre vigtige trin i persondatas livscyklus, som er vigtige for virksomheder at forstå for at overholde GDPR. Det første skridt er, at virksomheden får adgang til personoplysningerne. Det andet trin vedrører virksomhedens behandling af personoplysninger efter indsamlingen. I den afsluttende fase, som vedrører afslutningen af behandlingen, skal virksomheden sikre, at personoplysningerne ophører med at blive behandlet korrekt. Der er mange regler, der skal følges inden for hvert trin i personoplysningernes livscyklus.

Vil du lære mere?

Læs mere
Scroll to Top