Databeskyttelsesforordningen opdeler personoplysninger i 3 kategorier; almindelige personoplysninger, følsomme personoplysninger (også kaldet særlige kategorier af personoplysninger) og oplysninger om strafbare forhold.
Det er vigtigt, at du har styr på, hvilke kategorier af personoplysninger du behandler, da der er forskel på, om og hvordan du må behandle de forskellige kategorier af personoplysninger.
Følgende oplysninger anses som følsomme/særlige kategorier af personoplysninger:
Oplysninger om strafbare forhold kan være en oplysning om, at en person har begået en bestemt lovovertrædelse, men det kan også f.eks. være en oplysning om, at en person har adresse i et fængsel.
Med andre ord er der tale om en oplysning om strafbare forhold, hvis det ud fra oplysningen kan udledes, at en person har begået noget strafbart. Regler om behandling af oplysninger om strafbare forhold fremgår ikke af forordningen, men vil blive fastsat i de enkelte lande (kilde: Datatilsynet).
Personoplysninger, som ikke udgør ’følsomme personoplysninger’ og (efter omstændighederne) oplysninger om ’strafbare forhold’, kaldes ’almindelige personoplysninger’.
Almindelige personoplysninger kan f.eks. være identifikationsoplysninger som navn og adresse. Det kan være kundeforhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato, IP-adresse, matrikelnr. Og andre lignende ikke-følsomme oplysninger (kilde: Datatilsynet).
Vær opmærksom på at AU betragter en række af disse oplysninger som fortrolige (se evt. AU’s dataklassifikation). Du kan læse mere om ’fortrolige oplysninger’ nedenfor.
Der findes ikke regler om fortrolige oplysninger i databeskyttelsesforordningen. Fortrolige oplysninger er oplysninger, som efter dansk ret skal anses som fortrolige, eller hvor den almene opfattelse af oplysningerne er, at de skal behandles fortroligt. En fortrolig oplysning er ikke nødvendigvis en følsom personoplysning, men skal oftest beskyttes lige så godt. Du kan overveje følgende, når du skal bedømme, om en oplysning er fortrolig:
Der er særlige beskyttelseshensyn at tage til børn. Databeskyttelsesforordningen og databeskyttelsesloven indeholder enkelte regler, der specifikt retter sig mod behandlingen af børns personoplysninger, f.eks. behandling af børns personoplysninger ved brug af informationssamfundstjenster, såsom sociale medier. Desuden skal man være opmærksom på, at det ofte vil kræve et samtykke fra forældremyndighedsindehaveren at behandle barnets personoplysninger. En behandling af børns personoplysninger stiller også særlige krav til f.eks. sprogbrug ved varetagelsen af oplysningspligten.
Som en tommelfingerregel skal forældremyndighedsindehaveren samtykke til behandlingen og have informationer om behandlingen, hvis barnet er under 15 år. Du kan læse mere om samtykke i Datatilsynets vejledning.