Datatyper og behandling heraf

persondata-typer

Persondata er ikke bare persondata

I den eksisterende Persondatalov arbejdes der med flere kategorier af oplysninger og det videreføres til Persondataforordningen. I modsætning til tidligere gøres der i Persondataforordningen kun brug af to primære kategorier, almindelige og følsomme personoplysninger. Til gengæld kommer der danske særregler for blandt andet cpr-numre og der er særlige forhold for oplysninger om straffedomme og lovovertrædelser. I det følgende vil vi prøve at gøre dig lidt klogere på, hvilke slags persondata, der findes, og hvordan de må og skal behandles.

 

Almindelige persondata

Først er der de såkaldte almindelige persondata, som i langt overvejende grad er dem, som de fleste kommer til at behandle det meste af tiden. Der er ikke nogen udtømmende liste over, hvad almindelige persondata er, men det er f.eks. oplysninger som navn, adresse, køn, alder, e-mail, telefonnummer etc. Altså de oplysninger, som vi igen og igen bruger, når vi f.eks. færdes på nettet. Det kan også være mere specielle, men dog almindelige oplysninger, såsom nummerplader og ip-adresser.

 

Faktisk er alle de oplysninger, som ikke er følsomme eller dækket af en særregel, at betragte som almindelige personoplysninger. Fælles for de almindelige personoplysninger er, at ingen ønsker dem offentliggjort uden grund eller stjålet af hackere, men hvis det sker, så er skaden dog trods alt til at begrænse i det fleste tilfælde. Det er IKKE en opfordring til at tage let på behandlingen af almindelige personoplysninger, for det er det, der er hovedessensen i Persondataforordningen. Det skal blot indskærpes, at hvis man mister eller ved en fejl offentliggør følsomme oplysninger, så kan de registrerede lide uoprettelig skade.

 

Behandling af almindelige persondata

Hvordan skal almindelige personoplysninger så behandles? De skal helt kort sagt behandles i overensstemmelse med Persondataforordningen. Altså essensen er, at man skal overholde principper og krav, hvad enten det er at finde hjemmel til behandling, at sikre sletning af unødvendige data, at indtænke it-sikkerhed i sine systemer etc.

Der findes ikke et kort svar, kun ekstra krav ved de følsomme oplysninger, som kan undlades ved behandling af almindelige oplysninger. Så hvis du vil vide, hvordan data skal behandles, må du igennem hele forordningen. Lidt kan man dog overordnet fortælle, du kan læse mere i artiklen om de grundlæggende principper i Persondataforordningen, ikke mindst om de såkaldte hjemler, det vil sige grunde der lovliggør behandling af persondata.

 

Følsomme persondata

Hvad er følsomme oplysninger så og hvordan skal de behandles? Følsomme oplysninger er defineret således i forordningen: ”…race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt … genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering…” Afgrænsningen er finit, det vil sige, at der ikke er noget ”med mere” eller ”og så videre”.

 

Behandling af følsomme persondata

Hvad er så kravene til behandling af følsomme oplysninger? Helt grundlæggende er behandling af følsomme oplysninger simpelt hen forbudt. Et sådant forbud umuliggør en lang række ting i et moderne samfund og derfor er der indført en række undtagelser, hvor behandling af følsomme oplysninger altså er tilladt og hvor det er underforstået, at alle andre krav i forordningen naturligvis overholdes.

Faktisk er der flere ”hjemler” (undtagelser) til at berettige behandling af følsomme oplysninger end der er til behandling af almindelige oplysninger, men hjemlerne er væsentligt mere indsnævrede og specifikke. Derudover er følsomme oplysninger som nævnt underlagt de samme krav som almindelige oplysninger: Behandlingen skal være i overensstemmelse med forordningen! Undtagelserne er disse:

Første undtagelse er, hvis den registrerede (medarbejderen, kunden, leverandøren) giver udtrykkeligt samtykke til behandling af sine følsomme oplysninger. ”Udtrykkeligt” betyder, at samtykket ikke må være passivt eller stiltiende, det skal afgives aktivt, som svar på spørgsmålet om, hvorvidt det er i orden at behandle vedkommendes følsomme oplysninger. Men det er ikke nok i sig selv: selvom den registrerede siger ja, så kan loven forbyde det.

Det kan f.eks. gælde oplysninger om såkaldt race, som ikke umiddelbart må registreres, uanset hvor meget samtykke man får fra f.eks. kunden. Selv hvis de to krav (udtrykkeligt samtykke og ingen lov imod behandling) er opfyldt, skal man træde meget varsomt: er der et virkelig behov for at behandle følsomme personoplysninger? Hvis nej, så lad vær.

Hvis det er nødvendigt at skulle behandle følsomme oplysninger, og der kan findes en anden hjemmel (se nedenfor) vil det trods problematikker, være en god ide at sikre samtykke, da behandling kan virke meget indgribende i folks privatliv.

 

Undtagelser der lovliggør behandling

Ud over samtykke er der hele 9 yderligere undtagelser, som gør, at man lovligt må behandle følsomme personoplysninger. De bliver kort gennemgået, da de generelt er møntet på ret atypiske og specielle situationer.

  • Følsomme oplysninger må behandles, hvis det er nødvendigt ”for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser”, så længe dette er i overensstemmelse med lov eller som relevant i det danske tilfælde, kollektiv overenskomst. Det betyder blandt andet, at arbejdsgiver kan behandle sundhedsoplysninger om sine medarbejdere. Det er ligeledes meget praktisk for arbejdsgiver at vide, hvilken fagforening medarbejderne er medlem af.
  • Følsomme oplysninger må også behandles, hvis dette er nødvendigt for at beskytte den registreredes vitale interesser, hvis denne ikke selv er i stand til den. Det betyder f.eks., at man kunne give en læge følsomme oplysninger, hvis en patients liv afhang af det og patienten ikke selv er i stand til at agere, f.eks. ved koma. Igen meget praktisk.
  • Foreninger, som ikke arbejder med gevinst for øje, må også behandle følsomme oplysninger. Det kan måske virke paradoksalt, men en del foreninger er netop baseret på de registreredes følsomme persondata, f.eks. religiøs overbevisning eller seksuel orientering. Oplysningerne må dog ikke videregives uden for organisationen uden den registreredes samtykke.
  • Hvis en person selv har offentliggjort de følsomme oplysninger, f.eks. om ens sygdom eller politiske ståsted, må oplysningerne ligeledes behandles.
  • Behandling må også finde sted, hvis der skal fastlægges et retskrav.
  • Væsentlige samfundsinteresser kan også være behandlingsgrund, så længe behandlingen er lovlig og rimelig og sikrer passende beskyttelse af den registrerede. Et eksempel kunne være oplysninger om seksuel orientering i forbindelse med udbredelse af en seksuelt overført sygdom som f.eks. HIV. Denne behandlingsgrund vil langt overvejende være rettet mod det offentlige system.
  • Følsomme oplysninger kan også behandles i forhold til forebyggende medicin, arbejdsmedicin, social- og sundhedsomsorg samt samfundsinteresser på folkesundhedsområdet og endelig må følsomme oplysninger behandles til arkiv-, forsknings-, og statistikformål. Dette er igen undtagelser, som i høj grad er rettet mod offentlige instanser.
  • Udover de følsomme oplysninger arbejder forordningen med endnu en kategori, nemlig personoplysninger vedrørende straffedomme og lovovertrædelser. Disse oplysninger kan betragtes som ”særlige, men almindelige oplysninger”. Det betyder, at hjemlen skal findes hos de almindelige personoplysninger, men at behandling kun må ske under offentlig kontrol eller med hjemmel i lov. Hidtil har virksomheder kunnet udbede sig en straffeattest ved ansøgere, og det forventes, at der indføres national særlovgivning på dette punkt, så det fortsat vil være muligt.

De danske særregler

Og så kom vi frem til de danske særregler. Eller rettere den danske særregel. Lovarbejdet er langt fra tilendebragt, så det kan ikke endeligt siges, hvad disse regler kommer til at dække, men én ting er dog meldt ud: Der kommer en særregel omhandlende cpr-nummeret. Lige pt. er der lagt op til, at cpr-numre må behandles af private, hvis det er et lovkrav, hvis den registrerede giver sit samtykke eller hvis der alene er tale om behandling med videnskabelige eller statistiske formål. Så hvis du skal bruge cpr-numre (og prøv at undgå det), så bed om samtykke.

 

Det var et overblik over de forskellige typer af personoplysninger og de krav, der stilles, før man må behandle dem. Hvis du gerne vil vide mere og have styr på personoplysningerne i dit firma, så kontakt Per for et uforpligtende møde på 23315014 eller kontakt@pds.as .