Hvad er forskellen på almindelige og følsomme personoplysninger?

En personoplysning er generelt alle oplysninger, der kan henføres til en fysisk person. Det kan være et billede, en adresse, et navn, en stemme mv. Personoplysninger opdeles i forskellige kategorier: almindelige, følsomme, fortrolige og oplysninger om strafferetlige forhold. Almindelige personoplysninger omfatter alle oplysninger, der ikke er kategoriseret som følsomme personoplysninger. Det vil typisk være oplysninger om navn, adresse, e-mail, beskrivelse af udseende, alder, uddannelse mv. Følsomme personoplysninger er udtrykkeligt afgrænset i GDPR og omfatter oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuelle forhold eller seksuel orientering. Fortrolige personoplysninger er almindelige personoplysninger, men på grund af oplysningernes karakter skal behandles som følsomme oplysninger. Dette gælder f.eks. CPR-nr. eller andre oplysninger med særlige beskyttelsesbehov.

Sådan undgår du at overtræde GDPR-reglerne i din markedsføring

Indsigt

02.07.2025

Det er helt naturligt, at du gerne vil fortælle om din virksomheds produkter og ydelser – både til nuværende og kommende kunder. Men før du trykker ”send” på dit nyhedsbrev, segmenterer din kundeliste eller lader sociale medier bruge din kundedatabase til målrettede annoncer, er der nogle vigtige regler, du skal have styr på.

Hænder der taster på tastatur, hvor sociale medier hænger over

Du behandler personoplysninger i forbindelse med direkte markedsføring

Du behandler personoplysninger i forbindelse med direkte markedsføring. Derfor gælder reglerne i GDPR og databeskyttelsesloven.

I denne artikel får du en tjekliste til din virksomheds eller organisations markedsføring i forhold til gældende GDPR-regler.

Datatilsynets vejledning om direkte markedsføring fra juni 2023

Her henvises der til EU-domstolens definition af begrebet direkte markedsføring:

En kommunikation med kommercielt formål, der direkte og individuelt henvender sig til en eller flere brugere (registrerede).

Der er altså tale om direkte markedsføring, både når du sender et brev til en bestemt person, og når du markedsfører din virksomhed på sociale medier til bestemte typer af personer, som du har fundet frem til gennem f.eks. besøgshistorik.

GDPR skal overholdes i alle faser

Når du begynder at planlægge din markedsføringsaktivitet, skal du være opmærksom på, at du allerede på dette indledende tidspunkt kan behandle personoplysninger – og derfor skal overholde reglerne i GDPR.

Det kan f.eks. være, når du indsamler oplysninger om de personer, du gerne vil henvende dig til. Indsamlingen kan ske ved sortering i datasæt eller segmentering af personer med det formål at udvælge den rigtige målgruppe.

Reglerne i GDPR skal overholdes, hvis du videregiver oplysninger om f.eks. dine kunder til sociale medier, så de kan henvende sig til dem.

Før du går i gang med din direkte markedsføring

Inden du gennemfører din markedsføringsaktivitet, anbefales det, at du får overblik over:

Hvem du vil henvende dig til: Hvis du vil henvende dig til børn eller særligt udsatte personer, så skal du være ekstra opmærksom på, at reglerne er overholdt.
Hvilke personoplysninger, der er nødvendige at behandle.
Om du behandler følsomme personoplysninger – eller om du kan udlede følsomme personoplysninger ud fra almindelige personoplysninger.
Hvilken hjemmel du har til din behandling af personoplysninger

En personoplysning er generelt alle oplysninger, der kan henføres til en fysisk person. Det kan være et billede, en adresse, et navn, en stemme mv.

Personoplysninger opdeles i forskellige kategorier: almindelige, følsomme, fortrolige og oplysninger om strafferetlige forhold.

Almindelige personoplysninger omfatter alle oplysninger, der ikke er kategoriseret som følsomme personoplysninger. Det vil typisk være oplysninger om navn, adresse, e-mail, beskrivelse af udseende, alder, uddannelse mv.

Følsomme personoplysninger er udtrykkeligt afgrænset i GDPR og omfatter oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuelle forhold eller seksuel orientering.

Fortrolige personoplysninger er almindelige personoplysninger, men på grund af oplysningernes karakter skal behandles som følsomme oplysninger. Dette gælder f.eks. CPR-nr. eller andre oplysninger med særlige beskyttelsesbehov.

Hvad skal du være opmærksom på, hvis din målgruppe er særligt sårbar?

Nogle grupper eller personer kan være særligt sårbare af forskellige årsager.

Børn skal f.eks. beskyttes særligt mod direkte markedsføring. Børn og unge er mere påvirkelige og kan ikke nødvendigvis forstå konsekvenserne ved f.eks. at samtykke til direkte markedsføring.

Der er også en række andre personer eller grupper, der kan være særlige sårbare og derfor skal beskyttes ekstra mod direkte markedsføring.

Det kan f.eks. være ældre mennesker eller personer, der af forskellige grunde er særligt påvirkelige over for din markedsføring. I Datatilsynets vejledning er der nævnt et eksempel på personer, der er let påvirkelige overfor online spil eller betting, der kan medføre at personerne træffer uhensigtsmæssige valg.

Den typiske udfordring
Det er typisk behandlingshjemlen – altså retsgrundlaget – som kan give udfordringer i markedsføringskontekster. Som i alle andre behandlingssituationer er det et krav, at du har hjemmel til din behandling af personoplysninger i forbindelse med markedsføringen.

Ved markedsføring vil det ofte være relevant at henvise til enten samtykke (art. 6, stk. 1, litra a) eller legitim interesse (art. 6, stk. 1, litra f).

Anvender du legitim interesse som din behandlingshjemmel, er der en række krav:

1. Du kan identificere en legitim interesse (din markedsføring)
2. Det er nødvendigt at behandle oplysningerne for at forfølge interessen
3. Den registreredes interesser går ikke forud herfor

Det er særligt afvejningen i det tredje krav, der kan give anledning til problemer – særligt hvis det drejer sig om børn.

Anvender du samtykke som behandlingsgrundlag, skal du sikre dig, at samtykket overholder kravene til gyldighed i GDPR, og at du kan dokumentere, at det er givet og gyldigt.

Hvilke regler skal ellers overholdes?

Ud over de databeskyttelsesretlige regler skal du være opmærksom på, at du eventuelt også skal overholde en række andre regelsæt, når du laver direkte markedsføring over for eksisterende og potentielle kunder.

Det er reglerne i:

• Markedsføringsloven - herunder spamforbuddet i § 10
• Forbrugeraftaleloven
• Cookiebekendtgørelse
• Evt. CVR-loven

Har du spørgsmål eller brug for rådgivning?

Er du i tvivl om, hvilke regler der gælder for din markedsføring – hvad enten det handler om GDPR, samtykke, cookies eller andet – så er du altid velkommen til at kontakte os. Vi er specialister i databeskyttelse og hjælper gerne med at vurdere, hvilke regler der er relevante for dig og din virksomhed.