Hvad er en personfølsom oplysning?
Til at starte med er det vigtigt at forstå, at den korrekte tekniske betegnelse ikke er “personfølsomme oplysninger”, men “følsomme personoplysninger” eller “følsomme persondata”.
Hvad defineres som følsomme personoplysninger?
I henhold til GDPR og andre privatlivslove som CCPA, PIPL, PIPEDA osv., omfatter følsomme personoplysninger to typer af oplysninger, som man bør skelnes mellem. Der er personlige oplysninger og følsomme personoplysninger.
- Personlige oplysninger omfatter information, der kan bruges til at identificere dig som individ; ting som navn, fødselsdato eller e-mail. Disse kaldes også nogle gange PII (Personally Identifiable Information).
- Følsomme personoplysninger er et mere specifikt sæt af kategorier. Følsomme personoplysninger omfatter eksempelvis helbredsoplysninger, race eller etnisk baggrund, politiske holdninger, religiøse eller filosofiske overbevisninger, medlemskab af en fagforening, sexliv eller seksuel orientering, genetiske data og biometriske data. Følsomme personoplysninger skal håndteres med stor omhu, da en lækage af disse informationer kan føre til diskrimination.
Der hersker dog stadig en vis forvirring om, hvilke data der går ind i hvilken kategori. Her følger de oftest stillede spørgsmål om følsomme personoplysninger.
Er alder en personfølsom oplysning?
Nej. Alder er data, der kan identificere en person og er personoplysninger, der forventes at blive fundet i en virksomheds database. Alder falder ind under kategorien “personoplysninger” og er ikke følsom i forhold til GDPR-lovgivningen.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er email-adresse en personfølsom oplysning?
Nej. En e-mailadresse er kategoriseret som personlige oplysninger, fordi den vedrører personen og kan identificere vedkommende. Det betragtes dog ikke som følsomme personoplysninger, fordi de ikke i sig selv har en direkte og alvorlig indvirkning på privatlivets fred.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er navn en personfølsom oplysning?
Nej. Navn er kategoriseret som personlige oplysninger, fordi de kan føre til identifikation af en person, men de er ikke klassificeret som følsomme personoplysninger, fordi navne i sig selv ikke udgør en risiko for alvorlig krænkelse af privatlivets fred. På den anden side kan nogle typer af identifikationsdata såsom en persons borgerservicenummer betragtes som følsomme, da det kan have en større indvirkning på privatlivets fred.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er foto en personfølsom oplysning?
Ja. Et fotografi er et direkte bevis på identitet og falder ind under kategorien følsomme personoplysninger vedrørende race og etnisk baggrund. Det betyder, at en virksomhed ikke bør være i besiddelse af et fotografi af nogen uden deres udtrykkelige samtykke, medmindre lovgivningen giver en undtagelse.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er løn en personfølsom oplysning?
Ja. Lønoplysninger anses for at være mere følsomme. Selvom det ikke falder helt ind under kategorien defineret som følsomme personoplysninger i henhold til GDPR, er lønoplysninger en særlig kategori, med en større indvirkning på privatlivets fred end andre personlige data som en persons alder, e-mail eller navn.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Er nationalitet en personfølsom oplysning?
Ja. Nationalitet er tæt forbundet med den følsomme personoplysnings-kategori, der vedrører race og etnisk baggrund. Vær forsigtig, når I opbevarer denne form for data, da reglerne for håndtering af følsomme personoplysninger er strengere, hvilket er en udfordring, hvis I medtager nationaliteter i medarbejderoplysningerne, der er gemt i jeres database.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er pas-oplysninger en personfølsom oplysning?
Ja. Et pas er et komplet bevis på identitet, inklusive race og etnisk baggrund. Virksomheder bør ikke få adgang til en persons pas uden udtrykkeligt samtykke, medmindre lovgivningen tillader en undtagelse.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er initialer en personfølsom oplysning?
Nej. Initialer er en personlig information, der som udgangspunkt kan udledes af individets navn.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er adresse en personfølsom oplysning?
Oplysninger om adresse er ikke følsom. Men informationen er en personlig oplysning, da den kan bruges til at identificere en person.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Vil I have GDPR-ryddet op i jeres mails?
Med et GDPR Risiko-scan af DataMapper kan I få scannet alle Outlook-konti i jeres virksomhed. I vil få nøglestatistik om alle (nuværende og tidligere) medarbejderes mails – herunder oplysninger om hvilke mails, medarbejdere og processer, der genererer GDPR-risiko.
Er fødselsdag en personfølsom oplysning?
Nej. Fødselsdag er til gengæld en personlig oplysning.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er CPR en personfølsom oplysning?
Ifølge persondataforordningen er CPR-nummer ikke en følsom oplysning. CPR-nummer tilhører dog en kategori, som falder uden for GDPR-kategorierne for følsomme personoplysninger. Når dette er sagt, så behandles CPR-nummeret som en følsom oplysning, fordi nummeret alene bruges til at identificere en person. Det er langtfra alle lande som har et personligt identifikationsnummer.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Den smarte måde at behandle personfølsomme oplysninger
Før I indsamler oplysninger, bør I vide, om det er følsomme personoplysninger. Praksis for opbevarelse og beskyttelse af disse oplysninger vil nemlig være forskellig afhængigt af om der er tale om følsomme personoplysninger eller ej.
Hvis I ikke er sikker på, om I har disse type data i jeres systemer, hvor de er, eller hvor meget af dem, I gemmer, vil jeg foreslå, at I bruger et Data Discovery-værktøj som Datamapper til at finde dem på tværs af alle jeres virksomheds datasystemer.
Sebastian Allerelli
Founder & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
