Følsomme personoplysninger

Følsomme personoplysninger er særlige kategorier af persondata, der kræver ekstra beskyttelse under GDPR. Det omfatter bl.a. helbredsoplysninger, politisk overbevisning, seksuel orientering og biometriske data. Behandling er som udgangspunkt forbudt, medmindre en specifik undtagelse gælder.

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er følsomme personoplysninger?

    Følsomme personoplysninger (også kaldet "særlige kategorier af personoplysninger") er defineret i GDPR artikel 9. Det er persondata, der ved deres karakter er særligt risikofyldte for den registreredes grundlæggende rettigheder og frihedsrettigheder.

    Behandling af følsomme personoplysninger er som udgangspunkt forbudt (artikel 9, stk. 1). Det er en skærpelse i forhold til almindelige persondata, hvor du blot skal have et gyldigt behandlingsgrundlag. For følsomme data skal du have et behandlingsgrundlag og en specifik undtagelse fra forbuddet.

    De ni kategorier

    GDPR definerer følgende som følsomme personoplysninger:

    • Race og etnisk oprindelse
    • Politisk overbevisning
    • Religiøs eller filosofisk overbevisning
    • Fagforeningsmæssigt tilhørsforhold
    • Genetiske data
    • Biometriske data (når de bruges til entydig identifikation)
    • Helbredsoplysninger
    • Seksuelle forhold
    • Seksuel orientering

    Listen er udtømmende. Andre typer oplysninger, der kan opfattes som "følsomme" i daglig tale (fx løn eller CPR-numre), er ikke følsomme i GDPR-forstand. CPR-numre er reguleret separat i databeskyttelsesloven § 11.

    Hvornår må du behandle dem?

    Artikel 9, stk. 2 indeholder ti undtagelser fra forbuddet. De mest relevante i praksis er:

    • Udtrykkeligt samtykke: Den registrerede har givet sit udtrykkelige samtykke. Bemærk, at samtykket skal være "udtrykkeligt", ikke blot "informeret" som for almindelige data.
    • Ansættelsesret og social sikring: Behandlingen er nødvendig for at overholde forpligtelser inden for ansættelsesret, social sikring eller social beskyttelse.
    • Vitale interesser: Behandlingen er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser.
    • Sundhedsformål: Behandlingen er nødvendig for sundhedspleje, lægelig diagnose eller social omsorg.
    • Offentlig interesse: Behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser.

    Husk, at du ud over undtagelsen også skal have et gyldigt behandlingsgrundlag i artikel 6. De to krav gælder parallelt.

    Skærpede sikkerhedskrav

    Behandling af følsomme personoplysninger stiller skærpede krav til behandlingssikkerhed. Jo mere følsomme data, desto stærkere foranstaltninger kræves:

    Behandling af følsomme data i stor skala kræver typisk en konsekvensanalyse (DPIA). Din DPO bør involveres tidligt.

    Dokumentér dine sikkerhedsforanstaltninger i din fortegnelse. Ved databrud med følsomme data er konsekvenserne for de registrerede typisk alvorligere, og risikoen for, at du skal underrette dem direkte, er større.

    Ofte stillede spørgsmål om følsomme personoplysninger

    Hvad er følsomme personoplysninger?

    Følsomme personoplysninger er særlige kategorier af data, der kræver ekstra beskyttelse. Det omfatter oplysninger om race, etnisk oprindelse, politisk overbevisning, religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuel orientering.

    Hvornår må man behandle følsomme personoplysninger?

    Behandling er som udgangspunkt forbudt. Det er kun tilladt, hvis en af undtagelserne i GDPR artikel 9, stk. 2 er opfyldt, fx udtrykkeligt samtykke, nødvendig behandling i forhold til ansættelsesret, eller hvis det er nødvendigt for at beskytte vitale interesser.

    Er CPR-numre følsomme personoplysninger?

    Nej, CPR-numre er ikke følsomme personoplysninger i GDPR-forstand. De er almindelige personoplysninger, men er underlagt særlige regler i den danske databeskyttelseslov § 11 pga. deres unikke identifikationsevne.

    Kræver følsomme personoplysninger altid en konsekvensanalyse?

    Ikke altid, men behandling af følsomme personoplysninger i stor skala vil typisk kræve en konsekvensanalyse (DPIA). Datatilsynet har udgivet en liste over behandlingstyper, der altid kræver DPIA, og behandling af følsomme data i stor skala er blandt dem.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl