Personfølsomme oplysninger

Personfølsomme oplysninger – sådan er reglerne i GDPR

Personfølsomme oplysninger. Også mere korrekt kendt som “følsomme oplysninger” eller “oplysninger af den særlige kategori”. Men hvad er personfølsomme oplysninger overhoved? Hvad står der i GDPR? Og hvad med persondataloven? Hvad er definitionen på de følsomme personoplysninger? Og hvad med opbevaring af sådanne data?

Det og meget mere kan du læse om i denne artikel.

Har du brug for hjælp til overholdelse af GDPR? Så få et uforpligtende tilbud fra en rådgiver med speciale i databeskyttelsesreglerne her.

Læs hele artiklen herunder.

Hvad er personfølsomme oplysninger?

Hvad er personfølsomme oplysninger overhoved?

Først og fremmest så hedder det ikke personfølsomme oplysninger. Det hedder blot “følsomme oplysninger”. I databeskyttelsesforordningen (også kendt som persondataforordningen) går de følsomme oplysninger under navnet “særlige kategorier af personoplysninger”.

Databeskyttelsesforordningen er også den lovgivningen, som mange kender som “GDPR” – general data protection regulation.

Mange tror fejlagtigt, at CPR-nummer, dankortoplysninger og lignende er de eneste følsomme oplysninger, som virksomheder, organisationer osv. skal passe på med at behandle (opbevare, modtage, videresende osv.).

Det er dog forkert!

Men hvad er så personfølsomme oplysninger efter databeskyttelsesforordningens regler?

Efter databeskyttelsesforordningens artikel 9 (1) kan man udlede, at følsomme oplysninger kan være oplysninger om:

  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske eller biometriske data
  • Helbredsoplysninger
  • Oplysninger om seksuelle forhold eller seksuel orientering
Følsomme personoplysninger er ikke ‘bare’ CPR-nummer
De følsomme oplysninger er bl.a. helbredsoplysninger, oplysninger om religion, oplysninger om seksuelle forhold. Hvis du behandler følsomme oplysninger, skal du være opmærksom på de særlige regler i GDPR, da du ellers kan få bøde fra Datatilsynet.

 

Læs mere herunder om definitionen på personfølsomme oplysninger herunder.

Personfølsomme oplysninger definition

Der står i artikel 9 (1) i databeskyttelsesforordningen en definition af, at personfølsomme oplysninger er forbudt:

1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.”

I databeskyttelsesforordningen bruger man ikke begrebet “personfølsomme oplysninger”. Man nævner begrebet “følsomme oplysninger”, men rent faktisk hører de under den kategori, som forordningen kalder for oplysninger af den særlige kategori.

Efter artikel (1) er behandling af disse oplysninger forbudt. Så som organisation/virksomhed må du faktisk slet ikke modtage, opbevare, videresende eller lignende sådanne oplysninger.  Dog er der nævnt nogle undtagelser i artikel 9 (2). De vigtigste to regler om, at du alligevel gerne må behandle personfølsomme oplysninger er bl.a.:

  • Hvis du får udtrykkeligt samtykke med en juridisk gyldig samtykkeerklæring
  • Hvis den registrerede (kunden, klienten, borgeren osv.) tydeligvis selv har offentliggjort oplysningerne

Derudover skal de øvrige betingelser i GDPR (databeskyttelsesforordningen) også være opfyldt, så du er compliant. Det kan derfor være nødvendigt med en advokat eller lignende specialist i GDPR. Få uforpligtende tilbud på hjælp til GDPR her.

Men hvad siger den danske persondatalov om følsomme oplysninger? Læs med herunder.

(Artiklen fortsætter under billedet…)

Religion er personfølsom oplysninger
Hvis du behandler oplysninger om religion, vil det være en personfølsom oplysning. Du skal derfor sikre dig, at du overholder GDPR i forhold til oplysningerne om religion.

Hvad siger persondataloven om følsomme data?

Persondataloven hedder i virkeligheden “databeskyttelsesloven”.

I databeskyttelsesloven henviser man til databeskyttelsesforordningen (GDPR).

Der står i databeskyttelseslovens § 7:

§ 7. Forbuddet mod behandling af følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, gælder ikke i tilfælde, hvor betingelserne for behandling af personoplysninger i databeskyttelsesforordningens artikel 9, stk. 2, litra a, c, d, e eller f, er opfyldt.”

Man har derfor valgt i at sige, at artikel 9, stk. 1 i databeskyttelsesforordningen/GDPR (som beskriver, at behandling af følsomme oplysninger er forbudt) ikke gælder, hvis én af undtagelserne i artikel 9, stk. 2, litra a, c, d, e eller f er tilstede.

Databeskyttelsesloven henviser derfor til mange af de samme regler om følsomme oplysninger, som står beskrevet i databeskyttelsesforordningen.

Eksempler på behandling af følsomme oplysninger

Følsomme oplysninger er altså meget mere end CPR-nummer, dankortoplysninger osv.

Lad os tage et par eksempler.

Eksempel 1: En virksomhed skal holde julefrokost. I den forbindelse sender den ansvarlige for julefrokosten en mail ud til alle medarbejder, hvor der står, at alle der på grund af deres religion ikke spiser svinekød gerne må melde tilbage, så de ved, hvor meget flæskesteg, der skal bestilles.

I dette eksempel vil svarene fra medarbejderne være personfølsomme oplysninger, fordi oplysninger om religion hører under “den særlige kategori” og som udgangspunkt er forbudt, medmindre de særlige regler i GDPR er overholdt.

Lad os tage et andet eksempel.

Eksempel 2: Ulla er selvstændig massør. Inden hver massage spørger hun klienterne, om der er nogle skavanker eller lignende, hun skal være opmærksom på. Mange af klienterne fortæller da om fx dårlig ryg, tidligere operationer osv. Disse oplysninger skriver Ulla ned i hendes klientsystem, så hun kan huske det, når de kommer igen næste gang.

I dette eksempel behandles der ligeledes følsomme oplysninger. Helbredsoplysninger er nemlig også følsomme oplysninger. Ulla skal derfor sørge for at overholde de særlige regler om dette i GDPR, da hun ellers kan risikere at få bøder, hvis Datatilsynet kommer forbi.

Men hvad så med CPR-nummer? Er det en personfølsom oplysning?

Er CPR-nummer personfølsomme oplysninger?

Mange tror fejlagtigt, at CPR-nr. er den eneste følsomme oplysning efter GDPR.

Faktisk er CPR-nummer (det danske personnummer) slet ikke nævnt i databeskyttelsesforordningen. Her nævner man i stedet sådan noget som helbredsoplysninger, oplysninger om religion, seksuelle forhold fagforening osv. Men ikke noget om CPR-nummeret.

Dette står dog i stedet nævnt i den danske databeskyttelseslov (persondataloven). I databeskyttelsesloven har man en kategori, man juridisk kalder for “fortrolige oplysninger”.

Der står følgende i databeskyttelseslovens § 11 om CPR-nummer:

“§ 11. Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.

Stk. 2. Private må behandle oplysninger om personnummer, når

1) det følger af lovgivningen,

2) den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,

3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller

4) betingelserne i § 7 er opfyldt.

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må personnummer ikke offentliggøres, medmindre der er givet samtykke i overensstemmelse med databeskyttelsesforordningens artikel 7.”

Efter Datatilsynets praksis skal du også være opmærksom på, at der gælder særlige regler for behandling af fortrolige og følsomme oplysninger. For eksempel skal følsomme personoplysninger med e-mail krypteres (via sikker mail).

Læs mere om regler for opbevaring, videregivelse og mail herunder.

 

1498884166_Arrow_Download

FÅ TILBUD PÅ HJÆLP TIL GDPR HER

 

Regler for opbevaring af personfølsomme oplysninger

Hvordan er reglerne for opbevaring af personfølsomme oplysninger? Hvor lang tid må man opbevare dem?

Der er to forhold du skal være opmærksom på:

  1. Har du overhoved det, man kalder for “hjemmel” til opbevaringen?
  2. Hvis ja, hvor længe har du så et “legitimt formål” med opbevaringen?

Lad os se lidt nærmere på det.

1. Har du “hjemmel” til opbevaringen?

Først og fremmest skal du sikre dig, at du har det, man kalder for “hjemmel” til overhoved at måtte opbevare oplysningerne. Det er det, der er din begrundelse for, hvorfor du må opbevare de følsomme personoplysninger.

Som nævnt ovenfor er vil opbevaring af følsomme oplysninger efter databeskyttelsesforordningens artikel 9 faktisk være ulovlig, da det som udgangspunkt er forbudt.

Dog er der en række undtagelser – for eksempel hvis du har udtrykkeligt samtykke, eller hvis den registrerede tydeligvis selv har offentliggjort oplysningerne.

Når du har fundet ud af, hvad der er din “hjemmel” til at måtte opbevare de personfølsomme oplysninger, skal du huske at skrive dette ind i din dokumentation til Datatilsynet. Dokumentationen vil bl.a. indebære, at du skal have lavet det, man kalder for en “artikel 30-fortegnelse“. Det kan være en god idé at få en advokat eller lignende til at hjælpe med dokumentationen. Få uforpligtende tilbud på, hvad det vil koste her.

2. Har du stadig et legitimt formål med opbevaringen?

Efter databeskyttelsesforordningen må du kun behandle personoplysninger, hvis du har et legitimt formål med det. Hvis du ikke længere har et legitimt formål, må du ikke behandle oplysningerne længere.

En opbevaring vil også være en behandling, og derfor skal du hele tiden spørge dig selv: “Har vi stadig et legitimt formål med at opbevare disse personfølsomme oplysninger?

Der står nemlig følgende i databeskyttelsesforordningens artikel 5, stk. 1, litra b:

“b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)”

Lige så snart det legitime formål ophøre skal du derfor sørge for, at I har nogle processer for at slette oplysningerne.

Men hvad så med videregivelse af personfølsomme oplysninger? Læs med herunder.

“Hjemmel” og “legitimt formål”
Når du behandler personoplysninger (for eksempel ved at opbevare dem), skal du altid have en “hjemmel” og et “legitimt formål”. Disse punkter skal du ligeledes skrive ind i din dokumentation over for Datatilsynet – bl.a. i din artikel 30-fortegnelse, som alle organisationer (virksomheder osv.) skal udarbejde. Overholdes dette ikke, kan du risikere bøde fra Datatilsynet.

 

Videregivelse af personfølsomme oplysninger

Videregivelse af oplysninger kan ske på flere måder. Det er en transmission af oplysningerne fra ét sted til et andet – uanset om det er pr. mail, post eller fra et system til et andet.

Videregivelse er en behandling efter databeskyttelsesforordningens forstand.

Du skal derfor overholde “de almindelige principper i GDPR” herunder have “hjemmel” og “legitimt formål” som beskrevet ovenover.

Derudover indebærer de almindelige principper i GDPR, at du også skal sørge for tilstrækkelig tekniske og organisatoriske foranstaltninger. Ifølge Datatilsynets praksis indebærer det også, at hvis du behandler personfølsomme oplysninger via mail, skal oplysningerne krypteres.

Det kan du læse mere om herunder.

(Artiklen fortsætter under billedet…)

Følsomme oplysninger videresendelse
Videresendelse af følsomme oplysninger er ligeledes en behandling. Det kræver, at du overholder reglerne om følsomme oplysninger i GDPR. Følsomme oplysninger er for eksempel helbredsoplysninger.

Må jeg sende personfølsomme oplysninger via mail?

Datatilsynet har tidligere været ude og udtale, at de har en “skærpet praksis” i forhold til videresendelse af personfølsomme oplysninger eller fortrolige oplysninger via mail. Siden 1. januar 2019 har det været et krav at sende oplysningerne krypteret.

Datatilsynet udtalte bl.a. i en pressemeddelelse fra d. 23.07.2018:

Datatilsynet har imidlertid som følge af databeskyttelsesforordningens risikobaserede tilgang til behandlingssikkerhed og den teknologiske udvikling siden 2007-2008 besluttet at skærpe sin praksis for så vidt angår transmission af fortrolige og følsomme personoplysninger med e-mail via internettet i den private sektor.

Det betyder, at hvis I sender personfølsomme oplysninger via mail – eller fortrolige oplysninger – så skal I være særligt opmærksomme på at overholde databeskyttelsesforordningens regler (GDPR).

Efter Datatilsynets pressemeddelelse blev der givet en frist indtil 1. januar 2019 for den private sektor til at få styr på dette – derefter ville man ikke overholde databeskyttelsesforordningen, hvis videresendelsen af de følsomme oplysninger ikke skete krypteret.

Datatilsynet udtalte nemlig i samme pressemeddelelse:

Fremadrettet vil det således være Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.

Hvis du ikke overholder disse regler kan du derfor risikere at få påbud eller bøde fra Datatilsynet. Har du brug for hjælp til at sørge for at overholde alle reglerne i GDPR? Så få et uforpligtende tilbud på, hvad det vil koste herunder.

Få tilbud på hjælp til personfølsomme oplysninger og GDPR

Vil du have hjælp fra en specialist til overholdelse af GDPR og evt. også personfølsomme oplysninger?

Så kan vi på eJura.dk hjælpe dig.

Udfyld formularen herunder. Derefter kontakter vi dig for at snakke om dine behov. Rådgiveren kontakter dig derefter direkte og oplyser om pris og indhold af tilbuddet.

1Beskriv din sag
2Dine oplysninger
  • Du behøver ikke bruge lang tid på at beskrive sagen. Du vil blive kontaktet af os, hvor du kan uddybe dine behov.

 

 

Personfølsomme oplysninger