Skip to main content

Hvad udgør personoplysninger (GDPR)?

    GDPR er bygget op omkring beskyttelse af personoplysninger om EU-borgere og -beboere. At forstå, hvad dette betyder, vil gøre det muligt for din virksomhed at få styr på sine GDPR-krav. Faktisk gælder GDPR kun for persondata. Men hvad er persondata helt præcist? Bredden af denne kategori kan overraske dig! I denne artikel hjælper vi dig med at afgøre, hvilke af dine data der falder ind under GDPR-reglerne, hvilket forhåbentlig forhindrer dig i at slette nyttige oplysninger unødigt.

    Vi vil også forklare forskellen mellem persondata og følsomme persondata – en central skelnen under GDPR, med implikationer for, hvordan de indsamles, opbevares og behandles.

    Hvad er persondata helt præcist?

    Desværre indeholder GDPR ikke en udtømmende liste over, hvad den betragter som personlige data. Reglerne siger, at personoplysninger er - "Enhver information vedrørende en identificerbar fysisk person".

    For lægmanden betyder det enhver information, der kan bruges – alene eller i kombination med andre oplysninger – til at identificere en levende registreret. Personlige data kan være noget indlysende, som et navn eller et brugernavn, eller det kan være noget mindre tydeligt som CCTV-optagelser.

    Dette skyldes, at sådanne data kan bruges til at bekræfte din fysiske tilstedeværelse et eller andet sted. Det inkluderer også telefonplaceringsdata, IP-adresser og cookiedata samt e-mail- og hjemmeadresser.

    Det er dog vigtigt at huske, at disse ting i sig selv ikke nødvendigvis udgør personlige data, som defineret i GDPR-reglerne – det hele afhænger af den specifikke omstændighed.

    Hvad har Omstændighed med det at gøre?

    Tag for eksempel nogens navn.

    Du kan antage, at dette altid vil blive kategoriseret som personlige data under GDPR, men du tager fejl. Da der er 48.532 John Smiths i USA, kan dette navn i sig selv ikke bruges til at identificere en bestemt individuel person ( US Census Bureau). Til sammenligning er det nok sikkert at sige, at Elon Musks søn er den eneste person på planeten, der hedder X Æ A-12 Musk (for øjeblikket).

    Det er derfor naturligt, at GDPR ville anse hans navn for at være personlige data, da disse oplysninger i sig selv er nok til at nulstille hans individuelle identitet. Dette ændres dog, hvis det kombineres med andre oplysninger i filen. E-mailadressen johnsmith@businessx.com vil blive betragtet som personlige data, da den indikerer, at der kun er én John Smith, der arbejder for netop denne virksomhed.

    Betragtes noget ikke som personlige data?

    I de fleste tilfælde betragtes data om døde personer ikke som persondata i henhold til GDPR. Det fremgår også af betragtning 26, at anonyme data ikke falder ind under GDPR-reglerne. Anonymisering er processen med at skrubbe alle personlige identifikatorer fra data. Det må ikke forveksles med pseudonyme eller krypterede data, som stadig kan genbehandles for at identificere personer. GDPR tilskynder dog aktivt til pseudonymisering af personlige data, fordi det giver et ekstra sikkerhedsniveau for registrerede. Dette skyldes, at pseudonymiserede data kun kan tilgås af autoriserede medarbejdere – og derved reduceres privatlivsrisici for personer, der har givet deres data til virksomheder.

    Hvad med GDPR-følsomme personoplysninger?

    Følsomme personoplysninger - eller "special kategoridata" i det officielle sprog i artikel 9- er blevet fremhævet af GDPR som noget, der skal håndteres med ekstra sikkerhed. Her er alle eksempler på følsomme personoplysninger:

    • Race eller etnisk oprindelse
    • Politiske meninger
    • Religiøse eller filosofiske overbevisninger
    • Fagforeningsmedlemskab
    • Straffeattest
    • Klassificerede data
    • Genetiske data
    • Finansielle data
    • Biometriske data
    • Sundhedsdata
    • Sexliv eller seksuel orientering
    • Virksomheds- eller arbejdsoplysninger

    Denne sondring mellem persondata og følsomme persondata er vigtig. I henhold til GDPR kan følsomme data kun behandles, hvis de opfylder en eller flere af følgende betingelser:

    • Hvis personen har givet udtrykkeligt samtykke eller allerede har offentliggjort dataene
    • Hvis dataene er nødvendige for at beskytte interesserne for registrerede, der fysisk ikke er i stand til at give samtykke
    • Hvis dataene er væsentlige for at opfylde kravene til beskæftigelse, social sikring eller social beskyttelse i henhold til loven
    • Hvis dataene er nødvendige af en non-profit organisation for at udføre lovlige aktiviteter
    • Hvis dataene er nødvendige til aktiviteter relateret til væsentlige offentlige interesser med hensyn til sundhed eller medicin

    Du er dataklar

    Forhåbentlig har du nu fået en bedre ide om, hvilke personlige og følsomme data du har registreret. Dette er det første skridt mod at identificere og klassificere data og sikre, at den måde, du opbevarer personlige data på, respekterer EU-internetbrugeres rettigheder i henhold til GDPR. Forbedring af sikkerheden af disse følsomme oplysninger vil også bedre beskytte dig i det uheldige tilfælde af et databrud – hvilket reducerer de bøder, som din virksomhed ville modtage fra databeskyttelsesmyndighederne.

    Du kan finde mere om GDPR og databeskyttelse i vores omfattende guide.