Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er "personhenførbar".
Databeskyttelsesforordningen opdeler personoplysninger i tre typer:
- Personoplysninger (ikke-følsomme oplysninger)
- Særlige kategorier af personoplysninger (følsomme oplysninger)
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
Opdelingen findes, fordi der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængig af oplysningernes følsomhed. Du kan læse mere om disse behandlingsregler under punktet "Hvornår må du behandle personoplysninger".
Personoplysninger (ikke-følsomme personoplysninger)
Personoplysninger omfatter alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger). Det kan for eksempel være identifikationsoplysninger som navn, adresse, alder og uddannelse. Det gælder også økonomiske forhold som skat og gæld. Personoplysninger indebærer også væsentlige sociale problemer, andre rent private forhold, sygedage eller tjenstlige forhold. Oplysninger i form af billede, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon – er også personoplysninger.
Særlige kategorier af personoplysninger (følsomme personoplysninger)
Følsomme personoplysninger er udtrykkelig afgrænset i databeskyttelsesforordningen, og adgangen til at behandle sådanne oplysninger er snævrere end ved almindelige personoplysninger.
Følsomme oplysninger er oplysninger om:
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Genetiske data
- Biometriske data med henblik på entydig identifikation
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering.
Kun de oplysninger, der er nævnt ovenfor, er følsomme personoplysninger.
Oplysninger om strafbare forhold - artikel 10 i databeskyttelsesforordningen og § 8 i databeskyttelsesloven
Oplysninger om strafbare forhold anses efter databeskyttelsesforordningen for personoplysninger og er særskilt reguleret i databeskyttelsesloven.
Der skal anlægges en ganske vid forståelse af begrebet strafbare forhold. Begrebet omfatter således ikke kun oplysninger om overtrædelse af lovgivning, uden at det har udløst eller kan udløse et egentligt strafansvar, men også eventuelle andre sanktioner, som f.eks. rettighedsfrakendelse.
Det er imidlertid ikke enhver oplysning om et muligt strafbart forhold, herunder enhver anmeldelse til politiet, der kan anses for omfattet. En anmeldelsen til politiet må således i en eller anden form antages at være underbygget, førend der er tale om oplysninger om strafbare forhold.
Fortrolige oplysninger - straffelovens § 152 sammenholdt med forvaltningslovens § 27
Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.
Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.
Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. Oplysninger, der kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter. Det gælder f.eks. oplysninger af rent objektiv karakter, såsom oplysninger om udstedelse af pas, kørekort, jagttegn osv.
Pseudonymisering og anonymisering af personoplysninger
Begrebet pseudonymisering er i databeskyttelsesforordningen defineret som behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.
Pseudonymiserede oplysninger bliver som udgangspunkt – men ikke altid – anset for at være personoplysninger. Ved vurderingen af, om de pseudonymiserede oplysninger skal betragtes som personoplysninger, skal der tages udgangspunkt i behandlingens kontekst samt muligheden for at identificere den person, oplysningerne vedrører, set ud fra den der behandler oplysningernes synspunkt. Det gælder uanset om identifikation sker ved at have adgang til pseudonymiseringsnøglen eller på anden vis.
På samme måde er summarisk behandling af oplysninger om flere individer, som er blevet samlet og kombineret uden fokus på det enkelte individ kun anonyme, hvis der ikke er nogen der kan genkende personerne ud fra oplysningerne eller ved kombination med andre oplysninger. Dette kaldes ofte aggregerede oplysninger, og det vil afhænge af en konkret vurdering, om sådanne oplysninger er omfattet af databeskyttelsesreglerne.
Oplysninger, der er gjort anonyme, sådan at ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, er ikke længere beskyttet af databeskyttelsesreglerne. Det skyldes, at databeskyttelsesreglerne kun finder anvendelse, så længe oplysningerne kan føres tilbage til en identificerbar eller identificeret fysisk person. Det er en betingelse, at anonymiseringen er uigenkaldelig.
Datatilsynet har på baggrund af en afgørelse fra EU-Domstolen den 4. september 2025 udgivet to nyheder om pseudonymiserede personoplysninger. Læs nyheden fra september her og en tilføjelse til nyheden her.