Det korte svar: Personoplysninger er både data, der direkte eller indirekte kan identificere en person – også kaldet PII (f.eks. navn, e-mail, fødselsdato) – men også følsomme personoplysninger (f.eks. helbred, religion eller biometriske data). Begge typer kræver beskyttelse efter GDPR, men følsomme data er underlagt endnu strengere regler.
Hvad er personoplysninger?
Når vi taler om personoplysninger, skelner vi mellem to kategorier:
- PII (personligt identificerbare oplysninger)
- Følsomme personoplysninger
PII er information, der kan identificere en person direkte eller indirekte – for eksempel navn, adresse, fødselsdato, e-mail eller IP-adresse.
Følsomme personoplysninger er en særlig underkategori, som kræver ekstra beskyttelse. Det gælder data om helbredsoplysninger, race og etnicitet, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsforhold, genetiske data, biometriske data og seksuel orientering. Uanset typen er det vigtigt at vide, hvilke data man har med at gøre – for reglerne for behandling og beskyttelse afhænger af netop dét.
Hvad er ikke personoplysninger?
Ikke alle oplysninger, der kan knyttes til en person, er personoplysninger. For at være en personlige oplysning skal oplysningen kunne identificere en person direkte eller indirekte. Nogle eksempler på oplysninger, der normalt ikke betragtes som personoplysninger, er:
- Anonyme oplysninger
- Virksomhedsoplysninger
- Offentligt tilgængelige oplysninger
"Undersøgelser viser, at næsten 50% af virksomheder har oplevet et cyberangreb."
- Center for Cybersikkerhed
Hvordan beskytter man personoplysninger?
I mange lande er der lovgivning, der beskytter personlige oplysninger. I EU er der for eksempel General Data Protection Regulation (GDPR), som regulerer behandlingen af personlige oplysninger inden for EU. GDPR fastsætter blandt andet, at personoplysninger skal behandles på en retfærdig og gennemsigtig måde, og at de kun må bruges til bestemte formål, som den registrerede person har givet samtykke til. GDPR kræver også, at personlige oplysninger skal beskyttes mod uautoriseret adgang, hændelig eller ulovlig ødelæggelse, tab eller ændring.
Indsigt i personoplysninger
Som person har du ret til at få indsigt i de personoplysninger, som behandlere har registreret om dig. Dette gælder både virksomheder, offentlige myndigheder og organisationer. Du kan bede om indsigt i dine personlige oplysninger ved at kontakte den virksomhed eller myndighed, som du mener har registreret oplysningerne. De skal herefter give dig adgang til oplysningerne og fortælle dig, hvor de stammer fra, hvad de bruges til, og hvem der har adgang til dem.
Hvornår kan man få slettet sine personoplysninger?
Du har ret til at få slettet dine personoplysninger, hvis de ikke længere er nødvendige for det formål, de blev indsamlet til. Derudover har du også ret til at få slettet dine personlige oplysninger, hvis behandlingen af oplysningerne er ulovlig eller i strid med databeskyttelsesforordningen (GDPR).
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Personoplysninger på nettet
Med den stigende brug af internettet og sociale medier er det blevet endnu vigtigere at beskytte personoplysninger på nettet. Når du bruger internettet og sociale medier, kan du blive bedt om at dele personlige oplysninger, f.eks. navn, adresse, fødselsdato, telefonnummer og e-mail-adresse. Disse oplysninger kan bruges af virksomheder og organisationer til at målrette deres markedsføring eller til at samle information om dig.
Når du deler personlige oplysninger på nettet, er det vigtigt at være opmærksom på, at oplysningerne kan blive set af mange mennesker. Det er også vigtigt at sikre, at websteder og sociale medier, som du bruger, beskytter dine personlige oplysninger ved hjælp af sikkerhedsforanstaltninger som SSL-kryptering og to-faktor-autentificering.
Er personoplysninger følsomme?
Ikke alle personoplysninger betragtes som følsomme oplysninger – men de skal alle behandles med ansvar. Oplysninger som navn, e-mail og adresse kaldes PII (personligt identificerbare oplysninger) og udgør almindelige persondata under GDPR. De er ikke klassificeret som følsomme, men kræver stadig lovligt grundlag og passende beskyttelse.
Følsomme personoplysninger er derimod en særlig kategori, som afslører mere private eller sårbare forhold. Disse oplysninger er underlagt strengere regler, da de kan bruges til at skade eller diskriminere enkeltpersoner. Derfor må de som udgangspunkt kun behandles med udtrykkeligt samtykke eller efter klare undtagelser i loven.
FAQ om personoplysninger
1. Hvordan ved vi, hvilke personoplysninger der er PII og følsomme?
PII er data, som allerede identificerer dig – navn, adresse, e-mail mv. Følsomme oplysninger går dybere og afslører sårbare aspekter – som helbred, religion, etnicitet eller biometriske data.
2. Hvorfor er visse personoplysninger under strengere regler?
Fordi de kan medføre større skade ved misbrug – fx diskrimination, identitetstyveri eller krænkelse af privatliv. Derfor skal du altid have eksplicit samtykke eller et klart lovligt grundlag for at behandle dem.
3. Skal vi have dokumentation for de personoplysninger vi har?
Ja – under GDPR skal du kunne vise, hvordan I behandler data lovligt. Det inkluderer log over aktiviteter, dækkende politikker, risikovurderinger, og hvordan I har varetager registreredes rettigheder.
Husk dette, når I behandler personlige oplysninger
Som virksomhed har I ansvar for at beskytte de personoplysninger, I indsamler og opbevarer. Det handler ikke kun om overholdelse af regler – det handler om tillid. Når data bruges ansvarligt og kun til det formål, de er indsamlet til, minimerer I risikoen for misbrug og databrud. Har I brug for hjælp til at håndtere persondata korrekt, kan I læse mere om vores værktøjer her:
DataMapper - find jeres følsomme persondata
ShareSimple - send og modtag data sikkert i Outlook
RequestManager - håndter dataforespørgsler effektivt
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
