Persondataforordningen

D. 25 maj 2018 trådte den nye persondataforordning i kraft på europæisk plan, og det skabte stor panik blandt både små og store virksomheder i månederne op til. Det hed sig nemlig, at fra den dato kunne man begynde at anmelde virksomheder, hvis de ikke levede op til reglerne tilhørende den nye lovgivning.  

Kort om persondataforordningen

Persondataforordningen har flere navne. Officielt hedder den Databeskyttelsesforordningen, men går oftest under forkortelsen GDPR, som den også er kendt som på engelsk. 

Persondataforordningen går ud på, at du som virksomhed, skal have styr på hvordan du behandler personoplysninger og den generelle sikkerhed heromkring. Alle former for behandling af persondata, som ikke er i privat sammenhæng, skal være i overensstemmelse med persondataforordningen.

Alfa og omega er, at du beskytter dine kunders, ansattes og samarbejdspartneres oplysninger. Det er derfor vigtigt, at du spørger dig selv om:

  • Behandler du persondata i virksomheden?
  • Hvis ja, hvilke persondata behandler du?
  • Hvorfor behandler du disse data?
  • Hvordan behandler du deres data?
  • Hvor behandler du persondata?
  • Og til sidst, hvor længe behandler du dem?

Allerførst kan det være en god idé at skabe dig et overblik over, hvilke persondata du har med at gøre til daglig.

Hvad er persondata?

Persondata er, som ordet fortæller dig, data eller oplysninger omkring en person. Disse data kan være personens navn, IP adresse eller e-mail. Dvs. al information der kan være med til at identificere en person.

Persondata kategoriserer man som:

  • Ikke-følsomme persondata.
  • Følsomme persondata.
Hvad er persondata i persondataforordningen?

Hvad er ikke-følsomme persondata

Disse former for oplysninger er ret almindelige, og er informationer du har, hvis du f.eks. har sendt kunden en faktura.

  • Navn.
  • E-mail adresse.
  • Telefonnummer.
  • Adresse.
  • Betalingsoplysninger.

Disse oplysninger er der som regel ingen begrænsninger for at behandle, hvis du har et lovligt formål. Det kan være en faktura, kontrakt eller lignende.

Følsomme persondata

Udgangspunktet for følsomme persondata er modsat de ikke-følsomme, at du ikke må behandle denne type oplysninger, medmindre du har fået et klart samtykke fra personen.

Følgende oplysninger vil kunne kategoriseres som følsomme:

  • Race og etnisk tilhørsforhold.
  • Politisk overbevisning.
  • Religiøs overbevisning.
  •  Filosofisk overbevisning.
  •  Fagforeningsmæssige tilhørsforhold.
  • Genetiske data.
  • Biometriske data.
  • Oplysninger om helbred.
  • Seksuelle forhold og orientering.

Straffeattest, CPR nummer og lignende

Disse data falder som regel ind under kategorien følsomme persondata med enkelte undtagelser. Du må som virksomhed gerne behandle disse oplysninger hvis;

  • Du skal politianmelde en medarbejder.
  • Du skal indhente en straffeattest ved ansættelse.
  • Du skal indhente en børneattest.

CPR nummer er en smule anderledes. I sig selv er det ikke-følsom persondata, men gælder stadig som en fortrolig oplysning, da COR data ikke er offentlig tilgængelige. Du må derfor gerne behandle et CPR nummer, hvis du skal bruge personnummeret til at identificere kunden korrekt ift. SKAT el. lignende.

De grundlæggende principper

For at leve korrekt op til persondataforordningen skal du bl.a. følge disse grundlæggende principper, og det er dit ansvar som dataansvarlig, at de bliver overholdt.

  1. Alle persondata skal overholde databeskyttelsesreglerne og behandles gennemsigtig.
  2. Ved indsamling af data skal det gøres klart og tydeligt, hvilket sagligt formål du anvender oplysningerne til. 
  3. Opbevaring af data skal begrænses, således at data kun opbevares ifølge det oprindelige formål.
  4. Data skal ajourføres, hvor det er din pligt at slette eller rette forkerte oplysninger.
  5. Når data ikke længere er nødvendige, skal de anonymiseres eller slettes.
  6. Persondata må ikke gives til kende over for uvedkommende, gå tabt eller blive beskadiget.

Få styr på din GDPR

Hos Schmitto A/S kan vi hjælpe dig med, at få styr på din GDPR i virksomheden. Har du f.eks. et IT system i virksomheden, er det vigtigt at få identificeret følsomme og ikke-følsomme data. Dette går gerne hånd-i-hånd med udarbejdelsen af en IT sikkerhedspolitik.