Alt du bør vide om personoplysninger

Persondatabegrebet er meget bredt. I loven hedder det, at en personoplysning er ”enhver form for information om en identificeret eller identificerbar person”. Alle informationer, som kan bruges til at nogen er i stand til at udpege personen, er altså personoplysninger og omfattet af loven.

Helt indlysende er f.eks. følgende informationer personoplysninger:

  • Navn
  • Adresse
  • Telefonnummer
  • E-mailadresse
  • CPR-nummer
  • Pasnummer
  • Kørekortnummer
  • Medarbejderkort

Definitionen på personoplysninger kan findes i persondata-forordningens artikel 4.

Datatilsynet har lavet en god gennemgang af de forskellige kategorier af personoplysninger.

Udpege en person
En information kan godt være en personoplysning, selv om du ikke selv kan udpege personen. Hvis bare nogen kan udpege personen, er informationen en personoplysning. Derfor er følgende informationer også personoplysninger:

  • Foto af person (fordi nogen vil være i stand til at sætte et navn på personen på fotoet)
  • IP-adresse (fordi en internetudbyder vil være i stand til at fastslå hvem, der havde en given IP-adresse på et givent tidspunkt)

Sammenstillingen af informationer
Selv om enkeltstående informationer måske ikke i sig selv ser ud til at være personoplysninger, skal man overveje, om sammenstillingen af informationer kan give anledning til, at nogen kan udpege personen.

Køn, alder og postnummer er ikke i sig selv personoplysninger, men sammenstiller man disse tre informationer vil sammenstillingen i særlige tilfælde være en personoplysning, fordi en unik person kan udpeges.

Særlige karakteristika
Nogle gange registrerer man særlige karakteristika ved en fysisk person. Disse særlige karakteristika kan også være personoplysninger, hvis de er særlige for en fysisk person:

  • Biometri – f.eks. fingeraftryk
  • Stemme
  • Genetiske kendetegn
  • Elementer som er særlige for en persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet

Identificerende oplysninger
Nogle gange erstattes umiddelbart identificerende oplysninger med en kode. Det kan f.eks. være at man i ét IT-system har navn og kundenummer og i ét andet system har kundenummer samt ordrer og fakturaer tilknyttet kunden. Alle oplysningerne vil fortsat være personoplysninger.

  • Kundenummer (fordi nummeret som regel henviser til en unik fysisk person)
  • Medlemsnummer (fordi nummeret som regel henviser til en unik fysisk person)
  • Ordrenummer (fordi ordren som regel henviser til en kunde, der er en fysisk person)
  • Fakturanummer (fordi fakturaen som regel henviser til en kunde, der er en fysisk person)
  • Andre løbenumre (fordi nummeret som regel direkte eller indirekte henviser til en unik fysisk person)

Hvis man så sletter navnet og kundenummeret i det første system og dermed i det andet system ikke kan henføre ordrer og fakturaer til en kunde (og ingen andre systemer eller juridiske personer kan skabe denne sammenhæng), så vil ordrer og fakturaer ikke længere være personoplysninger.

Tekniske spor
En række tekniske spor er relateret til fysiske personer og er dermed omfattet. Det kan f.eks. være tekniske spor om besøgende på en hjemmeside:

  • Lokaliseringsdata
  • Onlineidentifikatorer (f.eks. cookies, IDs fra trackingpixels eller hardwarenumre fra brugernes udstyr)
  • RFID-numre

Fysiske personer
Personoplysninger er tilknyttet fysiske personer – altså personer af kød og blod. Der er dog tilføjelser til denne regel:

  • Informationer om enkeltmandsejede virksomheder er omfattet af reglerne, fordi oplysningerne om den enkeltmandsejede virksomhed siger noget om ejeren
  • Oplysninger om A/S og ApS er dog ikke omfattet
  • Fysiske personer, som er kontaktpersoner hos selskaber (f.eks. hos A/S og ApS), er omfattet

Personoplysninger kan inddeles i forskellige kategorier: følsomme personoplysninger, oplysninger om straffedomme og lovovertrædelser, fortrolige oplysninger og almindelige oplysninger. Der kan læses mere om kategorierne under definitioner.

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations - easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin