Det korte svar: Personfølsomme oplysninger – eller det korrekte udtryk “følsomme personoplysninger” – er data, der afslører noget særligt privat om en person – fx helbredsoplysninger, politisk overbevisning eller religiøs tro. Disse typer data er ekstra beskyttede under GDPR og kræver et højere niveau af sikkerhed og samtykke. Virksomheder skal derfor være særligt opmærksomme på, hvordan de indsamler, behandler og opbevarer sådanne oplysninger.
Hvad er personfølsomme oplysninger?
Til at starte med er det vigtigt at forstå, at den korrekte tekniske betegnelse ikke er “personfølsomme oplysninger”, men “følsomme personoplysninger” eller “følsomme persondata”. Følsomme personoplysninger er først og fremmest følsomme oplysninger. Herudover er det en type persondata, som omfatter en persons:
- Helbredsoplysninger
- Race eller etnisk baggrund
- Politiske holdninger
- Religiøse eller filosofiske overbevisninger
- Medlemskab af en fagforening
- Seksuel orientering
- Genetiske eller biometriske data
Følsomme personoplysninger skal håndteres med stor omhu, da disse informationer kan misbruges med store konsekvenser for oplysningernes ejer. Læs mere om hvordan man behandler følsomme personoplysninger korrekt her.
Hvad er personfølsomme oplysninger ikke?
Der er en anden type persondata, som omfatter information, der kan bruges til at identificere en person direkte som individ; oplysninger som navn, fødselsdato eller e-mail. Disse kaldes Personally Identifiable Information eller PII. En misforståelse mange gør, er at tro at PII hører ind under personfølsomme oplysninger.
For at belyse præcis hvad personfølsomme oplysninger er, følger her en række stillede spørgsmål som ofte stilles i forbindelse med hvad følsomme personoplysninger er.
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Er alder en personfølsomme oplysninger?
Nej. Alder er data, der kan identificere en person og er personoplysninger, der forventes at blive fundet i en virksomheds database. Alder falder ind under kategorien “personoplysninger” og er ikke følsom i forhold til GDPR-lovgivningen.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er email-adresse personfølsomme oplysninger?
Nej. En e-mailadresse er kategoriseret som personlige oplysninger, fordi den vedrører personen og kan identificere vedkommende. Det betragtes dog ikke som følsomme personoplysninger, fordi de ikke i sig selv har en direkte og alvorlig indvirkning på privatlivets fred.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er navn personfølsomme oplysninger?
Nej. Navn er kategoriseret som personlige oplysninger, fordi de kan føre til identifikation af en person, men de er ikke klassificeret som følsomme personoplysninger, fordi navne i sig selv ikke udgør en risiko for alvorlig krænkelse af privatlivets fred. På den anden side kan nogle typer af identifikationsdata såsom en persons borgerservicenummer betragtes som følsomme, da det kan have en større indvirkning på privatlivets fred.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er foto en personfølsom oplysning?
Ja. Et fotografi er et direkte bevis på identitet og falder ind under kategorien følsomme personoplysninger vedrørende race og etnisk baggrund. Det betyder, at en virksomhed ikke bør være i besiddelse af et fotografi af nogen uden deres udtrykkelige samtykke, medmindre lovgivningen giver en undtagelse.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er løn personfølsomme oplysninger?
Ja. Lønoplysninger anses for at være mere følsomme. Selvom det ikke falder helt ind under kategorien defineret som følsomme personoplysninger i henhold til GDPR, er lønoplysninger en særlig kategori, med en større indvirkning på privatlivets fred end andre personlige data som en persons alder, e-mail eller navn.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Er nationalitet personfølsomme oplysninger?
Ja. Nationalitet er tæt forbundet med den følsomme personoplysnings-kategori, der vedrører race og etnisk baggrund. Vær forsigtig, når I opbevarer denne form for data, da reglerne for håndtering af følsomme personoplysninger er strengere, hvilket er en udfordring, hvis I medtager nationaliteter i medarbejderoplysningerne, der er gemt i jeres database.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er pas-oplysninger en personfølsom oplysning?
Ja. Et pas er et komplet bevis på identitet, inklusive race og etnisk baggrund. Virksomheder bør ikke få adgang til en persons pas uden udtrykkeligt samtykke, medmindre lovgivningen tillader en undtagelse.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
FAQ om personfølsomme oplysninger
1. Hvad er personfølsomme oplysninger?
Personfølsomme oplysninger er data, der afslører noget særligt privat om en person – fx helbredsoplysninger, politisk holdning, religiøs overbevisning, seksuel orientering eller fagforeningsmedlemskab.
2. Hvad er forskellen på almindelige og følsomme personoplysninger?
Almindelige oplysninger kan være navn, e-mail og adresse. Følsomme oplysninger kræver højere beskyttelse, fordi de potentielt kan misbruges og skade individet, hvis de lækkes.
3. Må virksomheder behandle personfølsomme oplysninger?
Ja, men kun under særlige betingelser – fx med tydeligt samtykke eller hvis det er nødvendigt af hensyn til lovgivning eller arbejdsmæssige forpligtelser. Behandlingen skal altid være lovlig og proportional.
4. Hvad er konsekvensen af at håndtere følsomme oplysninger forkert?
Forkert behandling kan føre til alvorlige GDPR-bøder, tab af kundetillid og i værste fald skade virksomhedens omdømme.
Er initialer personfølsomme oplysninger?
Nej. Initialer er en personlig information, der som udgangspunkt kan udledes af individets navn.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er adresse en personfølsom oplysning?
Oplysninger om adresse er ikke følsom. Men informationen er en personlig oplysning, da den kan bruges til at identificere en person.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er fødselsdag en personfølsom oplysning?
Nej. Fødselsdag er til gengæld en personlig oplysning.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Er CPR en personfølsom oplysning?
Ifølge GDPR er CPR-nummer ikke en følsom oplysning. CPR-nummer tilhører dog en kategori, som falder uden for GDPR-kategorierne for følsomme personoplysninger. Når dette er sagt, så behandles CPR-nummeret som en følsom oplysning, fordi nummeret alene bruges til at identificere en person. Det er langtfra alle lande som har et personligt identifikationsnummer.
Vi skal i øvrigt nævne, at den korrekte term er ikke “personfølsom oplysning”, som det står i overskriften, men “følsom personoplysning”.
Den smarte måde at behandle personfølsomme oplysninger
Før I indsamler oplysninger, bør I vide, om der er tale om personfølsomme oplysninger. Praksis for opbevaring og beskyttelse vil nemlig være forskellig afhængigt af, om data anses for følsomme eller ej. Hvis I ikke er sikre på, om I har denne type data i jeres systemer, hvor de ligger, eller hvor meget af dem I gemmer, vil jeg anbefale, at I gennemfører en GDPR-risikovurdering. Den hjælper jer med at identificere personfølsomme oplysninger på tværs af jeres datasystemer og giver jer det nødvendige overblik til at håndtere dem korrekt og ansvarligt.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
