Persondatatyper og lovlige grundlag for behandling af persondata

Overordnet findes der 3 kategorier persondata i den danske lovgivning:

• Almindelige personoplysninger
• Følsomme personoplysninger
• Særlige personoplysninger

Den sidste kategori er en dansk særregel i GDPR, som primært omhandler CPR-nummer og strafferetlige forhold. Typen af persondata har betydning for, hvornår og hvordan man må og bør behandle persondata.

Almindelige personoplysninger

Almindelige personoplysninger er alle oplysninger (der ikke falder under de andre kategorier) om en identificérbar fysisk person. Fx navn, adresse, telefonnummer, ip-adresse, tjenstlige forhold, familieforhold, bolig, nummerplade, eksamen, ansøgning, CV, ansættelsesdato og -stilling, afdeling, arbejdsområde og arbejdstelefon.

Der er ikke nogen udtømmende liste over almindelige personoplysninger, og den overordnede regel er, at alle oplysninger, som gør det muligt at identificere en fysisk person, dvs. oplysningen er “personhenførbar”, alene eller i kombination, er almindelige personoplysninger.

Oplysninger om enkeltmandsfirmaer eller arbejdsrelaterede oplysninger er derfor også personoplysninger.

Følsomme personoplysninger

Følsomme personoplysninger er udelukkende oplysninger om:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering

Det er kun de nævnte oplysninger der kategoriseres som følsomme personoplysninger.

Særlige oplysninger

Særlige oplysninger er oplysninger som samfundet betragter som værende fortrolige oplysninger, f.eks. CPR-nummer, strafbare forhold og lovovertrædelser, oplysninger om indtægts- og formueforhold, særlige arbejds-, uddannelses- og ansættelsesmæssige forhold, oplysninger om interne familieforhold, herunder oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde.

En almindelig personoplysning kan i visse tilfælde være en fortrolig oplysning. Dette beror på en vurdering af oplysningens karakter og sammenhæng, fx. i forhold til økonomiske eller familiemæssige forhold.

Hvornår må man behandle persondata?

Behandling af persondata betyder, at man “gør” noget med personoplysninger. Som regel betyder det, at man modtager personoplysninger, bruger oplysninger til at udføre opgaver eller opbevarer oplysninger.

Man må kun behandle almindelige personoplysninger, hvis man har et lovligt behandlingsgrundlag og GDPR opstiller seks muligheder (Kap. 2 art. 6):

Grundlag for lovlig behandling:

• Samtykke (Art. 6, stk. 1, litra a): Samtykke betyder, at den registrerede selv har indvilliget i, at de personoplysninger vedkommende har afgivet, bliver behandlet – samtykket skal være afgivet aktivt af den registrerede – det betyder bl.a. at forud-udfyldte afkrydsningsfelter ikke kan anvendes.
• Opfyldelse af kontrakt (Art. 6, stk. 1, litra b): Personoplysninger behandles med henblik opfyldelse eller forberedelse af en kontrakt, fx. i forbindelse med et køb af en vare/ydelse eller indgåelse af ansættelsesaftale.
• Retlig forpligtelse (Art. 6, stk. 1, litra c): Personoplysninger behandles for at overholde en retlig forpligtelse, dvs. en lovgivning, administrativ forskrift, bekendtgørelse, vejledning mv.
• Vital interesse (Art. 6, stk. 1, litra d): Personoplysninger behandles for at beskytte den registrerede. Dette kan fx gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab eller skader, og kunden ikke selv er i stand til at reagere, fx. pga. bortrejse og sygdom.
• Opgaver i samfundets interesse (Art. 6, stk. 1, litra e): Personoplysninger behandles af hensyn til udførelse af opgaver i samfundets interesse eller offentlig myndighedsudøvelse, fx. på området for sygdomsbekæmpelse, folkesundhed, arkivering, forskning eller statistiske formål.
• Interesseafvejning (Art. 6, stk. 1, litra f): Personoplysninger behandles for at forfølge en legitim interesse for virksomheden. Personoplysningerne må kun behandles, hvis virksomhedens interesse i denne behandling vejer tungere end den registreredes interesse i, at oplysningerne ikke bliver behandlet. Ved anvendelse af denne hjemmel skal det kunne uddybes, hvad der ligger til grund for interesseafvejningen, fx. er det tilladt at føre sædvanlige personaleregistre og registre over en virksomheds kunder og leverandører.

Følsomme personoplysninger må som udgangspunkt ikke behandles, men der er en række undtagelser. Hvis man skal behandle følsomme personoplysninger, skal man opfylde et såkaldt dobbelt hjemmelskrav og det betyder, at man ud over et lovligt grundlag (art. 6) fra listen ovenfor også skal kunne angive en relevant undtagelse (art. 9) fra listen nedenfor.

Undtagelser for behandling af følsomme personoplysninger:

• Udtrykkeligt samtykke (art. 9, stk. 2, litra a): Udtrykkeligt samtykke betyder, at der ikke må foreligge nogle tvivl om, at der er afgivet samtykke fra den registrerede.
• Retlig forpligtelse (art. 9, stk. 2, litra b): Personoplysninger behandles, fordi det er nødvendigt for at overholde en national eller europæisk lovgivning, administrativ forskrift, bekendtgørelse, vejledning mv.
• Vital interesse (art. 9, stk. 2, litra c): Personoplysninger behandles for at beskytte den registrerede, hvor den registrerede er ikke i stand til at give samtykke. Dette kan fx gøre sig gældende, hvis en kunde skal beskyttes mod et stort økonomisk tab eller skader, og denne ikke selv er i stand til at reagere.
• Behandling foretages af en stiftelse, en sammenslutning eller et andet organ (art. 9, stk. 2, litra d): Personoplysningerne behandles af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssigt art. Behandlingen sker kun som led i organets legitime aktiviteter og under forudsætning af at oplysningerne ikke videregives udenfor organet uden den registreredes samtykke, samt at der er fornødne garantier og kun vedrører organets medlemmer.
• Tydeligt offentliggjort af den registrerede (art. 9, stk. 2, litra e): Personoplysninger er uden tvivl offentliggjort af den registrerede selv.
• For at fastlægge retskrav (art. 9, stk. 2, litra f): Personoplysninger bliver behandlet på baggrund af nødvendigheden af at kunne fastlægge et retskrav eller når domstolen handler i deres egenskab som domstol.
• Opgaver i samfundets interesse (art. 9, stk. 2, litra g): Personoplysninger behandles af hensyn til udførelse af opgaver i samfundets interesse på grundlag af national ret/EU-retten, eller til at sikre fornødent beskyttelse af den registreredes grundlæggende rettigheder og interesser, fx. på området for sygdomsbekæmpelse, folkesundhed, arkivering, forskning eller statistiske formål.
• Til vurderingen af arbejdstagerens erhvervsevne, medicinsk diagnose med grundlag i national ret / EU-ret. (art. 9, stk. 2, litra h): Personoplysninger behandles med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social og sundhedsomsorg på grundlag af national ret/EU-retten.
• Opgaver i samfundets interesse på folkesundhedsområdet (art. 9, stk. 2, litra i): Personoplysninger behandles af hensyn til samfundsinteresser på folkesundhedsområdet. f.eks. beskyttelse mod alvorlige sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje på grundlag af EU-retten eller national ret.
• Opgaver i samfundets interesse til arkivformål, statistisk formål eller historiske forskningsformål (art. 9, stk. 2, litra j): Personoplysninger behandles af hensyn til samfundsinteresse med arkivformål, statistisk formål og historiske forskningsformål på grundlag af EU-retten eller national ret.

Særlige oplysninger er beskrevet i den danske udgave af GDPR og skal underbygges med hjemmelskrav fra artikel 11 og 12.

• Offentlig myndighedsudøvelse [CPR.nr]: Databeskyttelsesloven § 11, stk. 1: Personnummer bliver behandlet med henblik på en entydig identifikation eller som journalnummer.
• Samtykke [CPR.nr]: Databeskyttelsesloven § 11, stk. 2, nr. 2: Personnummer bliver behandlet via samtykke efter GDPR art. 7’s ordlyd.
• Videnskabelige eller statistisk formål [CPR.nr]: Databeskyttelsesloven § 11, stk. 2, nr. 3, 1. pkt.: Personnummer bliver behandlet alene til videnskabelige eller statistiske formål.
• Naturligt led i den normale drift [CPR.nr]: Databeskyttelsesloven § 11, stk. 2, nr. 3, 2. pkt.: Videregivelsen af personnummer sker som et naturligt led i den normale drift af virksomheder, mv. og er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.
• Offentlig myndighedskontrol [Strafbart forhold]: Art. 10 + én af art. 6, stk. 1s betingelser: Behandling af personoplysninger vedrørende strafbart forhold foretages under kontrol af den offentlige myndighed samt på grundlag af den tilknyttede sikkerhedsforanstaltning i art. 6, stk. 1
• Indhentning med hjemmel i anden lovgivning [Strafbart forhold]: Art. 10: Behandling af personoplysninger vedrørende strafbart forhold har hjemmel i EU-retten eller nationalretten.
• Retlige forpligtelse i ansættelsesforhold: Databeskyttelsesloven § 12, stk. 1: Behandling af personoplysninger (omfattet af art. 6, stk. 1 eller art. 9, stk. 1) i ansættelsesforhold er nødvendig for at overholde den dataansvarliges eller den registreredes arbejdsretlige forpligtelser eller rettigheder, som er fastlagt i anden lovgivning eller kollektive overenskomster.
• Legitim interesse i ansættelsesforhold: Databeskyttelsesloven § 12, stk. 2: Behandling af personoplysninger (omfattet af art. 6, stk. 1 eller art. 9, stk. 1) i ansættelsesforhold er nødvendige for at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, som udspringer af anden lovgivning eller kollektive overenskomster, medmindre den registreredes interesser eller grundlæggende rettigheder vejer tungere.