Menu
Wave top
whatispersonaldata-cover

Hvad er personoplysninger?

Efterlevelse af GDPR-reglerne kræver, at man kan identificere personoplysninger, hvilket du kan læse om i denne artikel.

  • Definition af personoplysninger
  • +100 eksempler med persondata
Wave Bottom

Introduktion

GDPR-reglerne stiller krav til din organisations behandling af personoplysninger, og derfor er det essentielt at kunne identificere personoplysninger når disse behandles i sit arbejde.

De fleste af os behandler persondata dagligt som en del af vores arbejde med kunder, kolleger, partnere, borgere, etc., og derfor er det nødvendigt for os alle at kunne identificere personoplysninger, så vi kan tage forholdsregler i denne behandling fx ved at efterleve databeskyttelsesprincipperne i GDPR-reglernes artikel 5.

Definition

Lad os starte med at se på definitionen af personoplysninger, som den fremgår i artikel 4, stk. 1 i databeskyttelsesforordningen, og som definerer personoplysninger som:

“enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.”

Med andre ord, så er en personoplysning enhver type information, der relaterer til en person og fortæller noget om vedkommende, samt bidrager til at identificere vedkommende. 

Identificerbarhed

Identificerbarhed er et nøglebegreb når vi skal vurdere om en oplysning er en personoplysning. Det skyldes, at alle oplysninger, der kan henføres til en person, er en ‘personoplysning’. 

Direkte identifikation

En oplysning kan direkte identificere en person, hvis oplysningen er unik for vedkommende. Vores nationale identifikationsnummer (CPR-nummeret) er et eksempel på en oplysning, som direkte kan identificere en person.

Et andet eksempel er en persons fulde navn, som typisk er associeret med at være en direkte personoplysning, men der er fx mange hundrede med navnet “Anne Jensen” i Danmark, hvilket gør, at navnet alene ikke nødvendigvis kan identificere en specifik person.

Indirekte identifikation 

En person kan identificeres ved brug af indirekte oplysninger om vedkommende, da en kombination af indirekte oplysninger tilsammen er unik, og dermed kan bidrage til at identificere en person.

Eksempel: Efterlysning

Dette kan illustreres ved en efterlysning af politiet, som ofte efterlyser personer, som de endnu ikke har identificeret direkte, men ved at lave en unik beskrivelse af den efterlyste kan politiet identificere denne. 

Beskrivelsen kan fx indeholde et estimat på den efterlystes højde, alder, køn, påklædning, og lokationen hvor vedkommende sidst blev set. 

Politiet kender i denne situation ikke vedkommendes navn, men de bruger en kombination af oplysninger om den efterlyste for at kunne identificere vedkommende. 

Politiets efterlysning er et udtryk for, at den efterlyste er identificerbar med kombinationen af indirekte oplysninger. Derfor er alle oplysningerne i dette eksempel ‘personoplysninger’ jf. definitionen af personoplysninger.

Eksempel - en adresse

En adresse er ikke umiddelbart en personoplysning, da det kan være adressen på en virksomhed med 1000 ansatte, og adressen relaterer sig derfor ikke til en identificerbar person i dette tilfælde. 

En adresse kan dog også tilhøre en studerende på et kollegieværelse, og er i dette tilfælde en personoplysning, da blot én person er bosiddende på denne adresse, og derfor bidrager til at vedkommende kan identificeres. 

Hvis adressen deles af en stor familie på 10 personer, så er adressen heller ikke en personoplysning, men hvis adressen er tilknyttet en anden oplysning fx fornavnet “Peter”, så gør kombinationen af oplysninger, at vi præcist kan identificere en person, da der formentlig blot er én person med fornavnet Peter på adressen. 

Midlerne til at identificere

Det kan være, at du ikke selv er i stand til at identificere vedkommende, som du har oplysninger omkring, men en oplysning er en personoplysning uanset hvem der kan identificere vedkommende og uanset hvilke midler som der skal anvendes for at kunne gøre dette.

Eksempel: Personnummer

Hvis du er i besiddelse af et CPR-nummer uden at have anden information om vedkommende, og uden at have adgang til CPR-registret, så har du ikke selv midlerne til at identificere individet med dette personnummer. Dog vil andre stadig være i stand til at identificere vedkommende ved brug af personnummeret, og derfor behandler du stadig en personoplysning. 

Eksempel: IP-adresse

Et andet eksempel er IP-adressen, som fungerer som en unik identifikator, når vi logger på internettet fra et givent netværk, fx fra hjemmet

Din internetudbyder har et register over de IP-adresser, de tildeler deres kunder, og kan derfor identificere deres kunder baseret på IP-adressen. Af den grund betragtes en IP-adresse som en personoplysning. Hvis du derimod selv har en liste over IP-adresser, der har besøgt din hjemmeside, kan du ikke direkte identificere disse besøgende, men IP-adressen betragtes stadig som en personoplysning. Det skyldes, at IP-adresserne er personhenførbare, hvis internetudbyderen eller andre myndigheder får adgang til dem.

Kategorier af personoplysninger

Det er vigtigt at kende forskel på de forskellige kategorier af personoplysninger, da man altid skal have hjemmel i GDPR-reglerne til at behandle personoplysninger. Det bør derfor være basisviden, som alle medarbejdere i en organisation besidder, så de ikke påbegynder en behandling af personoplysninger uden at sikre sig, at de har en hjemmel til dette. 

I det følgende gennemgås de forskellige kategorier af personoplysninger, som hver især kræver særlig hjemmel i GDPR-reglerne: 

  • Almindelige personoplysninger
  • Følsomme personoplysninger
  • National identifikationsnummer
  • Oplysninger om strafbare forhold

Almindelige personoplysninger

Almindelige personoplysninger er alle de personoplysninger, som ikke er enten følsomme personoplysninger, nationalt identifikationsnummer eller oplysninger om strafbare forhold. 

Behandlingen af almindelige personoplysninger skal altid have hjemmel i GDPR-reglernes artikel 6, stk. 1, og i det følgende vil vi gennemgå eksempler på almindelige personoplysninger.

Anden identifikation

Der findes adskillige identifikationsnumre, som direkte refererer til et individ, og som ikke er det nationale identifikationsnummer, hvilket er en særlig kategori for sig. 

  • Pasnummer, 
  • kørekortnummer, 
  • ID nummer,
  • patientnummer (inkl. journalnummer), 
  • nummerplade, 
  • stelnummer, 
  • registreringsnummer

Biometrisk verificering

  • Fingeraftryk, iris, foto (til ansigtsgenkendelse eller andre letgenkendelige træk), håndens blodkar, retina, tastedynamik, gangart, stemme, håndaftryk, håndgeometri, hjernebølge (ultralyd), hjerterytme (ultralyd), stemmegenkendelse, duft, håndskrift, ansigtstræk

Digitale fodspor

Digitale fodspor består af data, der skabes gennem en persons brug af digitale enheder og internettet. Disse oplysninger kan afsløre detaljer om personens online adfærd og præferencer.

  • Videooptagelser, 
  • browser fingeraftryk,
  • enheders fingeraftryk, 
  • cookies, 
  • IP adresse, 
  • MAC adresse, 
  • Operativ System(OS), 
  • lokationsoplysninger (incl. GPS), 
  • browserhistorik, 
  • bruger ID / loginnavn, 
  • kodeord, 
  • online kaldenavne, 
  • profiler på sociale medier, 
  • voIP navne (fx. skypenavn), 
  • logs, 
  • enheders ID (fx. IMEI, ICCID, IMSI), 
  • tracking ID (fx. UDID, IDFA, IDFV), 
  • henvisende hjemmeside, 
  • søgehistorik

Ejendomsoplysninger

Ejendomsoplysninger dækker data om en persons ejendele, såsom boligforhold, køretøjer og andre værdigenstande. Disse oplysninger kan indeholde detaljer om ejerskab, værdi og lokation og kan bruges til at identificere og få indsigt i individets økonomiske situation og livsstil. 

Familieoplysninger

Familieoplysninger omfatter data om en persons civilstand, familieforhold og nære relationer. 

  • Civilstand, 
  • familieoplysninger, 
  • skilsmissebegæringer, 
  • oplysninger om adoption, 
  • adoption, 
  • familietvister, 
  • kontaktperson i nødstilfælde.

Fotografi/Video

Fotografier og videoer indeholder visuelle data, der kan identificere personer og afsløre detaljer om udseende, adfærd, omgivelser, sociale interaktioner samt tid og sted, hvilket tilsammen giver indsigt i en persons liv og aktiviteter.

Kontaktinformation

For at kontakte og kommunikere med en person, så skal vi typisk have et navn eller fx et brugernavn, samt en kommunikationskanal.

  • Navn, 
  • adresse, 
  • email, 
  • telefonnummer, 
  • aliaser, 
  • fødenavn, 
  • postnummer, 
  • kundenummer, 
  • initialer

Kundeoplysninger

Kundeoplysninger omfatter data relateret til en persons interaktioner med en virksomhed:

  • Bankkonto, 
  • services til den registrerede, 
  • transaktionsoplysninger, 
  • købshistorik

Medarbejderoplysninger

Medarbejderoplysninger indeholder data om en ansats rolle, erfaring og arbejdsrelaterede hændelser:

  • Titel, 
  • advarsler fra arbejdsplads, 
  • medarbejderundersøgelser, 
  • oplysninger om chikane, 
  • ulykker på arbejdspladsen, 
  • stilling/anciennitet

Økonomiske oplysninger

Økonomiske oplysninger dækker data om en persons indkomst, aktiver, gæld og økonomiske status, inklusive detaljer om bankkonti, løn, pension og udgifter.

  • Kontonummer, 
  • løn, 
  • indkomst og aktiver, 
  • bonusser og andre goder, 
  • modtager af sociale ydelser, 
  • førtidspension, 
  • pensionsopsparing, 
  • gæld, 
  • kreditkortoplysninger (inkl. kreditkortnummer), 
  • registrering i kartotek over dårlige betalere (RKI), 
  • skatteoplysninger, 
  • udgifter, fx rejseudgifter, omkostninger der skal refunderes af virksomheden

Personlige oplysninger

Personlige oplysninger omfatter data, der beskriver individuelle karakteristika og livsomstændigheder, såsom alder, køn, statsborgerskab, interesser og bopælshistorik.

  • Alder, 
  • køn, 
  • statsborgerskab, 
  • fødested, 
  • kost præferencer (veganer, vegetar, pescetar etc.), 
  • langtidsledighed, 
  • hjemløshed, 
  • militærnægtelse, 
  • fritidsinteresser, 
  • andre billeder der kan identificere en person, 
  • indvandringsstatus, 
  • tidligere statsborgerskaber, 
  • bopælshistorik, 
  • militærhistorik

Uddannelse og CV

Uddannelse og CV indeholder data om en persons akademiske baggrund, historik og kvalifikationer.

  • Oplysninger om uddannelse, 
  • eksamensbeviser, 
  • udskrifter, 
  • karakterer, 
  • studenter id nr., 
  • skolegang, 
  • fremmøde, 
  • karantæner, 
  • afbrudte uddannelser, 
  • gentagne forsøg (kurser, årgange etc.), 
  • bortvisning, 
  • gennemførte kurser, 
  • CV, 
  • æresbeviser,
  • priser

National identifikationsnummer

Et nationalt identifikationsnummer bruges til entydigt at identificere en person. Det nationale identifikationsnummer anvendes særligt til administrative formål i den offentlige sektor med henblik på en entydig identifikation eller som journalnummer, men også i den private sektor, hvis det følger af lovgivningen eller der er givet samtykke hertil.

Man skal sikre sig, at behandlingen af det nationale identifikationsnummer foretages med udgangspunkt i national lov, hvilket i Danmark er angivet i databeskyttelseslovens §11.

Strafbare forhold

Man skal altid have hjemmel i GDPR-reglernes artikel 6, stk. 1 for at behandle personoplysninger om straffedomme og lovovertrædelser, samt hjemmel i artikel 10.

Oplysninger om straffedomme og lovovertrædelser omfatter data om en persons tidligere eller aktuelle kriminelle handlinger, herunder domme, bøder, prøvetid og eventuel fængsling. Behandlingen af disse data kan påvirke individets mulighed for beskæftigelse, sociale relationer og offentlige omdømme, og skal derfor foretages varsomt.  

Følsomme personoplysninger

GDPR-reglerne er meget klare omkring, at man ikke må behandle følsomme personlige oplysninger med mindre at man har en konkret hjemmel hertil, og faktisk skrives det direkte, at det er ‘forbudt’. Det er derfor vigtigt, at alle i organisationen kan identificere, hvad der er følsomme personoplysninger, så lovgivningen kan følges i praksis. 

Man skal konkret have hjemmel i GDPR-reglernes artikel 6, stk. 1, samt artikel 9, stk.2 for at behandle følsomme personoplysninger.

Der er en grund til, at nogle personoplysninger karakteriseres som værende følsomme personoplysninger, mens andre ikke er det. Et kig rundt omkring i verden viser, at mennesker forfølges og diskrimineres fx på basis af deres etnicitet, politiske eller religiøse overbevisning, helbredstilstand, mv., hvilket har negative personlige konsekvenser og begrænser deres muligheder for at leve et frit liv. 

Hvis man undersøger listen med følsomme personoplysninger, så kan man se, at disse oplysninger kan have betydelige negative personlige konsekvenser, hvis de bliver misbrugt eller fejlbehandlet, og dette er grunden til, at vi skal være helt klare på, at vi ikke behandler følsomme personoplysninger uden at have en klar hjemmel i GDPR-reglerne til dette.

I GDPR-reglernes artikel 9, stk.1 kan du finde en konkret liste med de oplysninger, som karakteriseres som følsomme personoplysninger, og vi gennemgår disse herunder. 

Biometrisk identificering

Biometriske oplysninger er personoplysninger, der som følge af specifik teknisk behandling vedrørende en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger.

Eksempler på biometriske personoplysninger:

  • fingeraftryk, 
  • iris, 
  • foto (til ansigtsgenkendelse eller andre letgenkendelige træk), 
  • håndens blodkar, 
  • retina, 
  • tastedynamik, 
  • gangart,
  • Stemme,
  • håndaftryk, 
  • håndgeometri, 
  • hjernebølge (ultralyd), 
  • hjerterytme (ultralyd), 
  • stemmegenkendelse, 
  • duft, 
  • håndskrift, 
  • ansigtstræk

Fagforeningsmedlemsskab

Oplysninger om tilhørsforhold til en fagforening er følsomme personoplysninger, og det dækker fx oplysning om medlemskab, deltagelse i faglige aktiviteter og eventuelle bidrag til fagforeningen. Det omfatter også oplysninger om roller eller funktioner, man måtte have i fagforeningen, såsom tillidsrepræsentant eller bestyrelsesmedlem.

Filosofiske overbevisninger

Oplysninger om en persons filosofiske overbevisning er følsomme personoplysninger, og det kan fx være oplysninger om en person tilknytning til filosofiske organisationer, donationer til en forening, deltagelse i dennes aktiviteter, og lignende.

Genetiske oplysninger

DNA- og RNA oplysninger er følsomme personoplysninger, fordi de indeholder detaljeret genetisk information om et individ, der kan afsløre arvelige sygdomme, sundhedsrisici og unikke biologiske træk.

Helbredsoplysninger

Helbredsoplysninger omfatter alle personoplysninger om et individs helbredstilstand, som giver oplysninger om tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. Det kan eksempelvis være følgende:

  • Fysisk helbred, 
  • mentalt helbred, 
  • fratrædelse grundet sygdom, 
  • oplysninger om selvmordsforsøg, 
  • invalideydelser, 
  • ophold på psykiatrisk afdeling, 
  • medicinbrug, 
  • misbrug af stoffer, 
  • alkohol etc., 
  • handicap, 
  • langtidssygemelding, 
  • BMI, 
  • graviditet med komplikationer, 
  • arvelige sygdomme i den nærmeste familie, 
  • allergier, 
  • sundhedstest, 
  • narkotest, 
  • graviditet, 
  • blodtype, 
  • røntgenbilleder, 
  • højde, 
  • vægt, 
  • spyttest, 
  • hjerterytme, 
  • søvnmønstre, 
  • blodtryk, 
  • medicinsk udstyr

Politiske overbevisninger

Oplysninger om en persons politiske overbevisning omfatter en persons holdninger, synspunkter og tilknytning til politiske partier eller bevægelser. Dette kan inkludere medlemskab af politiske organisationer, deltagelse i politiske aktiviteter, donationer til politiske kampagner og udtalelser om politiske spørgsmål. Sådanne oplysninger kan afsløre en persons værdier, holdninger og ideologiske ståsted, hvilket kan påvirke vedkommendes privatliv og offentlige omdømme.

Race/Etnicitet

Oplysninger om race og etnicitet omfatter oplysninger, der kan afsløre en persons kulturelle baggrund, oprindelse eller tilhørsforhold til bestemte etniske grupper. Dette kan inkludere oplysninger om hudfarve, sprog, nationale eller kulturelle traditioner og familiær oprindelse. Sådanne oplysninger betragtes som følsomme personoplysninger, da de kan bruges til diskrimination eller forskelsbehandling. 

Religiøse overbevisninger

Religiøse overbevisninger omfatter data om en persons tro, religiøse tilhørsforhold og praksis, såsom medlemskab af et religiøst trossamfund, deltagelse i ritualer eller helligdage, og personlige trosretninger. 

Seksualliv

Oplysninger om seksuallivet kan være detaljer om en persons intime relationer og adfærd, såsom information om seksuelt overførte sygdomme, præventionsvalg og seksuelle aktiviteter. 

Seksuel orientering

Oplysninger om seksuel orientering angår en persons følelsesmæssige og romantiske tiltrækning, eksempelvis om man tiltrækkes af samme køn, modsatte køn eller flere køn. Disse data afspejler individets identitet og kan i nogle tilfælde føre til stigmatisering eller diskrimination.

Sammenfatning

I denne artikel har vi defineret, hvad personoplysninger er, samt gennemgået de forskellige kategorier af personoplysninger angivet i GDPR-reglerne. 

Alle dine kolleger bør være i stand til at identificere behandlingen af personoplysninger i deres arbejde, så det sikres, at de fx ikke starter en ny behandling af personoplysninger uden at have hjemmel til dette i GDPR-reglerne.

Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu
Book demo
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl