Begrebet ”personoplysninger” er i databeskyttelsesforordningens artikel 4, nr. 1, defineret som enhver form for information om en identificeret eller identificerbar fysisk person.  Definitionen betyder i praksis, at en oplysning vil være en personoplysning i databeskyttelsesretlig forstand, hvis oplysningen enten direkte eller indirekte kan henføres til en bestemt fysisk person. Oplysningen skal så at sige være ”personhenførbar”.

En personoplysning kan i databeskyttelsesretlig forstand være f.eks. et CPR-nummer, idet denne oplysning direkte identificerer en fysisk person. Oplysninger, der blot fortæller noget om en pågældende fysisk person, såsom oplysninger om navn, adresse, spisevaner, hjemmesidebesøg, forbrugsmønstre, økonomi eller helbred, vil dog ligeledes være at betragte som personoplysninger, idet disse oplysninger kan henføres til en identificerbar fysisk person. Dette uanset, at den pågældende person kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Dette indebærer også, at mængden af oplysninger i praksis har betydning for, om der er tale om personoplysningerne.

Begrebet personoplysninger omfatter både objektive oplysninger og subjektive oplysninger, herunder f.eks. vurderinger af en registrerets adfærd. Oplysninger, der udtrykker den registreredes tankegang, dømmekraft og kritiske sans mv. vil ligeledes være at betragte som en personoplysning, jf. blandt andet Datatilsynets afgørelse publiceret den 18. juni 2020 med j.nr. 2019-431-0045, hvor en databehandler havde videregivet dele af elevers opgavebesvarelser til en række forskere ved Københavns Universitet.

Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, der er opbevaret separat, anses også for at være oplysninger om en identificerbar fysisk person, jf. databeskyttelsesforordningens præambelbetragtning nr. 26, og er dermed stadig omfattet af databeskyttelsesreglerne. På samme måde vil oplysninger, der er krypteret, fortsat være personoplysninger i databeskyttelsesretlig forstand, hvis oplysningerne kan dekrypteres, og de personer, oplysningerne drejer sig om, herved kan identificeres.

Det følger videre af præambelbetragtning nr. 26, at der ved afgørelsen af om en fysisk person er identificerbar, og om en oplysning herved er personhenførbar, bør tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse til at identificere den pågældende.

Oplysninger, der er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres, vil ifølge præambelbetragtning nr. 26 derimod ikke længere være at betragte som personoplysninger i databeskyttelsesretlig forstand. Det er dog en betingelse, at anonymiseringen er gjort uigenkaldelig.

Det er ikke et krav, at den fysiske person, som oplysningen kan henføres til, er i live. Databeskyttelsesloven beskytter oplysninger om afdøde personer i 10 år efter vedkommendes død, jf. databeskyttelseslovens § 2, stk. 5.

En personoplysning er alene omfattet af databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, i det omfang denne helt eller delvist er undergivet automatisk databehandling eller er eller vil blive indeholdt i et register, jf. databeskyttelsesforordningens artikel 2, stk. 1 samt databeskyttelseslovens § 1, stk. 2.  

Begrebet ”automatisk databehandling” svarer til begrebet ”edb” og ”elektronisk” behandling fra det tidligere databeskyttelsesdirektivs artikel 3, stk. 1 og persondatalovens § 1, stk. 1, og betyder, at databeskyttelsesforordningen og databeskyttelsesloven som udgangspunkt ikke finder anvendelse for behandling, der udelukkende foretages manuelt (papirbaseret), medmindre personoplysningen er eller vil blive indeholdt i et register.  

Databeskyttelsesforordningen og databeskyttelsesloven finder imidlertid anvendelse på manuel håndtering af personoplysninger, hvis oplysningerne tillige er undergivet automatisk behandling. Højesteret fandt således i relation til det tidligere databeskyttelsesdirektiv, hvis materielle anvendelsesområde svarer til databeskyttelsesforordningen, at direktivet også fandt anvendelse på manuel behandling af personoplysninger, i det omfang oplysningerne tillige var undergivet elektronisk behandling, jf. U 2011 2343. I den konkrete sag videregav en medarbejder under en telefonsamtale mistanke om en tidligere ansats alkoholmisbrug. Højesteret fandt, at oplysningen, udover at være opbevaret i medarbejderens hukommelse, også blev opbevaret i elektronisk form i et tekstbehandlingssystem, hvorfor den mundtlige videregivelse var omfattet af det dagældende direktiv og hermed persondataloven.   

Enkelte bestemmelser i databeskyttelsesloven og databeskyttelsesforordningen finder desuden anvendelse ved en forvaltningsmyndigheds manuelle videregivelse af personoplysninger til en anden forvaltningsmyndighed, uagtet af at oplysninger i øvrigt ikke er undergivet automatisk behandling. Se nærmere herom i oplistningen i databeskyttelseslovens § 2, stk. 1.

Ved register forstås ifølge databeskyttelsesforordningens artikel 4, nr. 6, ”enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag”. Det er væsentligt, at samlingen er ”struktureret” efter ”bestemte kriterier”, og personoplysninger som alene opbevares i sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, vil således ikke være omfattet af anvendelsesområdet, jf. databeskyttelsesforordningens præambelbetragtning nr. 15.

Også enhver elektronisk eller ikkeelektronisk behandling af personoplysninger i forbindelse med tv-overvågning er undergivet databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde, jf. databeskyttelseslovens § 2, stk. 4. Bestemmelsen er en videreførelse af den tidligere persondatalov, og udtrykket ”tv-overvågning” skal ifølge forarbejderne til den dagældende persondatalov forstås som vedvarende eller regelmæssigt gentagen personovervågning ved hjælp af fjernbetjent eller automatisk virkende kamera. Iagttagelse eller optagelse skal således ske for at føre kontrol med personer og deres adfærd, og kameraer, der opsættes for at føre kontrol med f.eks. en maskines funktion eller optage dyrs adfærd i naturen, falder derfor uden for databeskyttelsesforordningens og databeskyttelseslovens anvendelsesområde. Der vil være tale om behandling af personoplysninger, uanset om tv-overvågningen er forbundet med lagring af billedoptagelser, eller om overvågningen alene har karakter af en umiddelbar iagttagelse på tv-skærm.

Datatilsynet har i afgørelse af 18. november 2019, j.nr. 2019-32-0670 fastslået, at der ikke kan stilles krav om, at en registreret udtrykkeligt skal anmode om (også) at få indsigt i personoplysninger, som den dataansvarlige behandler om en registreret i forbindelse med tv-overvågning. Den dataansvarlige er herved forpligtet til om muligt at give indsigt i al behandling, der pågår om den registrerede, herunder eventuel behandling, der foretages i forbindelse med tv-overvågning.

”Behandling” er i databeskyttelsesforordningens artikel 4, nr. 2, defineret som ”enhver aktivitet eller række af aktiviteter… som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”. Enhver form for håndtering/kontakt med personoplysninger vil således udgøre behandling.