Det lyder måske som et simpelt spørgsmål, men det kan faktisk være svært at skelne mellem, hvornår der er tale om en personoplysning, og hvornår der ikke er, og i særdeleshed hvornår der er tale om følsomme personoplysninger.
En almindelig personoplysning er en oplysning, der kan knyttes til en bestemt person. Dette gælder også, hvis personen kun kan identificeres ved en kombination af flere forskellige oplysninger. En mailadresse eller et telefonnummer er derfor eksempler på personoplysninger, men også sådan noget som et CVR-nr. kan efter omstændighederne være det, hvis der er tale om en enkeltmandsvirksomhed.
Når man har styr på, hvad en personoplysning er, er det vigtig at skelne mellem ikke-følsomme personoplysninger og følsomme personoplysninger. Dette skyldes, at behandlingen af følsomme personoplysninger kræver stærkere behandlingsgrundlag end behandlingen af ikke-følsomme personoplysninger.
Databeskyttelsesforordningen tager konkret stilling til hvilke oplysninger, der udgør følsomme personoplysninger. Det er blandt andet oplysninger om etnicitet, religion, helbred og seksualitet. Virksomheder skal derfor være ekstra opmærksomme, hvis behandlingen omfatter sådanne oplysninger, fx i forbindelse med personaleadministration.
En farlig faldgrube er oplysninger om CPR-numre. Oplysningen i sig selv er en almindelig personoplysning, men der gælder skrappe regler om, at CPR-numre skal behandles som om, det var en følsom oplysning, og man skal derfor stort set altid have samtykke for at behandle CPR-numre.
Derudover kommer også kategorien med fortrolige oplysninger, som blandt andet omfatter oplysninger om strafforhold.
