Mange virksomheder er i tvivl om, hvad der egentlig tæller som personfølsomme oplysninger i GDPR. Kort sagt er det oplysninger, der kan afsløre noget om en persons identitet, helbred, overbevisning eller private forhold. Hos GDPR-Regler.dk hjælper vi dagligt virksomheder med at skelne mellem almindelige og følsomme personoplysninger – og med at sikre, at de bliver behandlet korrekt.
Forskellen på personoplysninger og personfølsomme oplysninger
Personoplysninger er alle informationer, der kan knyttes til en person – fx navn, e-mail, billede eller IP-adresse. Personfølsomme oplysninger (særlige kategorier) dækker de mest private data og kræver skærpede krav til grundlag, sikkerhed og dokumentation.
| Type | Eksempler | GDPR-krav |
|---|---|---|
| Almindelige personoplysninger | Navn, e-mail, telefon, stilling, arbejdsadresse, kundehistorik | Lovligt behandlingsgrundlag (fx kontrakt eller legitim interesse), oplysning til den registrerede, passende sikkerhed |
| Personfølsomme oplysninger | Helbred, genetiske/biometriske data, fagforening, politisk/religiøs overbevisning, seksuel orientering | Særligt behandlingsgrundlag (art. 9), dataminimering, skærpede sikkerhedsforanstaltninger, dokumentation i fortegnelsen (art. 30) |
Eksempler: hvad er – og hvad er ikke – personfølsomt?
Typiske personfølsomme oplysninger
- Helbredsoplysninger i forbindelse med sygefravær eller sundhedsforsikring
- Oplysninger om religion, politik eller fagforening
- Genetiske og biometriske data (fx ansigts- eller fingeraftryk)
- Seksuel orientering eller forhold
- Strafferetslige oplysninger (håndteres efter særlige regler)
Ofte forvekslet med “følsomt”, men er almindelige
- Navn, arbejdsmail, telefonnummer
- Jobtitel og ansættelsesforhold
- Kundehistorik, køb og supportdialog
De er stadig personoplysninger og skal behandles lovligt og sikkert – men de er ikke “særlige kategorier”.
Sådan skal personfølsomme oplysninger behandles
- Klart formål: indsamling må kun ske, når det er nødvendigt for et tydeligt, legitimt formål.
- Behandlingsgrundlag: der kræves et særligt grundlag efter art. 9 (fx udtrykkeligt samtykke eller retskrav).
- Dataminimering: indsamle mindst muligt – kun det, der er nødvendigt.
- Dokumentation: registrér behandlingen i virksomhedens fortegnelse og opdatér løbende.
- Sikkerhed: stærk adgangsstyring, kryptering, logging, databehandleraftaler m.m.
Har I brug for hjælp til at få dokumentationen på plads? Læs om implementering og dokumentation.
Hvis håndteringen går galt
- Bøde eller påbud fra Datatilsynet ved alvorlige eller gentagne brud
- Krav om anmeldelse af brud inden 72 timer
- Tab af tillid hos kunder, medarbejdere og partnere
Undgå fejl med faste kontroller og opdateringer. Se løbende compliance.
Sådan hjælper GDPR-Regler.dk din virksomhed
René Nørbjerg hjælper med at kortlægge, beskytte og dokumentere jeres behandling af både almindelige og følsomme personoplysninger:
- Klassificering af data og klare politikker for opbevaring og adgang
- Fortegnelser, risikovurdering og beredskabsplaner
- Undervisning af medarbejdere, så praksis bliver fulgt
Start her: GDPR-rådgivning.
Ofte stillede spørgsmål
Hvad betyder “personoplysninger”?
Alle oplysninger, der direkte eller indirekte kan knyttes til en person – fx navn, e-mail, billeder, IP-adresse og kunde-ID.
Hvilke data er personfølsomme i GDPR?
Helbred, genetiske/biometriske data, religion, politik, fagforening og seksuel orientering. De kræver skærpede forhold og særligt behandlingsgrundlag.
Er CPR-nummer en personfølsom oplysning?
Nej. CPR-nummer er en særlig type persondata, men ikke en “særlig kategori” efter art. 9. Det kræver dog høj beskyttelse og tydeligt behandlingsgrundlag.
Hvordan beskytter vi personfølsomme oplysninger korrekt?
Definér formål, vælg lovligt (art. 9) grundlag, minimer data, dokumentér i fortegnelsen og brug skærpede sikkerhedsforanstaltninger. Få hjælp til implementering og dokumentation.
Opsummering
Personfølsomme oplysninger er de mest private data om personer og kræver både særligt behandlingsgrundlag, skærpet sikkerhed og løbende dokumentation. Er du i tvivl om jeres praksis, så få en enkel gennemgang og en plan for at komme sikkert i mål med GDPR-rådgivning.
