Persondataforordningen

Persondataforordningen

Persondataforordningen

”Persondata, det bruger vi ikke hos os!” Sådan hører jeg mange virksomhedsledere sige rundt omkring.
Men det er sjældent korrekt, og det skyldes ofte, at man ikke er bevidst om, i hvilket omfang virksomheden håndterer persondata.

Af Ulrik Lefevre,
Advokat, LEXSOS Advokater

Hvad er persondata?

Persondata defineres som ”en oplysning, der kan henføres til en bestemt fysisk person”. Det vil sige at simple oplysninger som navn, adresse, telefonnummer og e-mailadresse betegnes som persondata. Det samme gør fødselsdato, ip-adresser og oplysninger om ansættelsesforhold, løn, helbred og beskæftigelse. Det som overrasker nogen er, at persondata også kan være billeder, biometriske oplysninger, fingeraftryk m.m. Og det overrasker, at persondata ikke kun dækker over objektive oplysninger, som alle dem jeg har nævnt ovenfor, men også dækker over subjektive oplysninger. F.eks. en oversigt over kunder man ikke vil yde kredit til, eller en virksomheds graduering af leverandører ud fra egen vurdering. Mange af de nævnte typer af oplysninger håndteres af virksomhederne i dag. Derfor kan de færreste virksomheder sige, at de ikke beskæftiger sig med persondata i hverdagen.

Persondataforordningen

Persondataforordningen regulerer al behandling af personoplysninger, der sker elektronisk. Kort sagt så falder man ind under persondataforordnings regler, lige så snart man indtaster personoplysninger i en e-mail, et word-dokument eller i virksomhedens CRM system m.m. Da persondata kan være så simpelt som en e-mail adresse eller en ip-adresse, så kan det ikke undgås, at de daglige ekspeditioner i en virksomhed vil være omfattet af forordningen og nogle af de krav, der stillers heri. Persondataforordningen gælder også for helt almindelige papirbaserede arkiver, ringbind m.m. hvor indholdet er struktureret sådan, at det er muligt at finde frem til oplysninger om bestemte personer. En arkivskuffe med medarbejdernes ansættelsesbeviser eller et ringbind med medarbejdernes lønsedler vil udgøre et manuelt arkiv, som er omfattet af forordningen.

Hjemmel

Personoplysninger kan opdeles i flere kategorier, og de 3 væsentligste i dagligdagen er ”ikke-følsomme personoplysninger”, ”følsomme personoplysninger” og ”cpr-nummer”. Man skal være sikker på at man har lov til at indsamle og behandle disse personoplysninger – det
som man juridisk kalder for ”hjemmel”. Hvis man ikke har tilstrækkelig hjemmel til at indsamle og håndtere persondata, så begår man en ulovlig handling. Kort fortalt så kan ikke-følsomme oplysninger indsamles og behandles på grundlag af et samtykke eller en interesseafvejning, mens følsomme oplysninger forudsætter et udtrykkeligt samtykke fra den registrerede. Oplysninger om cpr-numre kræver
også samtykke, men herudover skal virksomheden have et sagligt formål med at indsamle cpr-numre.

Pligter

Når man én gang er afklaret med, at virksomheden rent faktisk håndterer persondata, så bør man se nærmere på, hvad man fremadrettet skal gøre for at være klar til at opfylde persondataforordnings krav, når den træder i kraft den 25. maj 2018. Meget kort fortalt, så kræver
persondataforordningen, at virksomhederne har overblik over hvilke persondata der indsamles, hvordan de behandles og hvordan de lagres. Derudover så skal virksomhederne foretage risikovurderinger, både i forhold til tab af oplysninger, men også i forhold til risikoen for, at persondata bruges til et andet, ulovligt formål, end det formål oplysningerne blev indsamlet til. Virksomhederne skal også lave en sikkerhedsvurdering af de systemer og fysiske lokaliteter, hvor persondataene opbevares eller håndteres. Herudover skal virksomhederne udarbejde en beredskabsplan, så man ved hvordan man skal forholde sig, hvis der sker tab af persondata eller på anden måde sker overtrædelse af forordningens vilkår. Endeligt skal virksomhederne have styr på det, der kaldes databehandleraftaler. Det er aftaler med de virksomheder, som man sender perondata til. Det kan være virksomhedens IT-hoster, udbyderen af lønsystemer m.m. eller Microsoft, Facebook og Google i det omfang man benytter deres tjenester til overførsel af persondata.

Hvad skal der gøres

Den nye persondataforordning er kompliceret, og det første skridt på vejen til at sikre opfyldes af de nye regler er, at få det fulde overblik over, hvilke persondata virksomheden håndterer og hvad de bruges til.

Advokat Ulrik Lefevre har møderet for Højesteret og er partner hos LEXSOS Advokater. Advokatfirmaet lægger vægt på at yde tilgængelig og uformel rådgivning, uden at den faglige standard sættes over styr. Ulrik Lefevre er virksomhedernes juridiske sparringspartner, der rådgiver om alle de retsområder, som en virksomhed kommer i berøring med i dagligdagen.
Hvis du vil vide mere om persondatareglerne eller andre retsforhold, så er du velkommen til at kontakte Ulrik Lefevre på:
Mail: lefevre@lexsos.dk
Mobil: 22 44 77 42
Telefon: 66 12 77 00

www.lexsos.dk

Marianne Kirkeby

Add your Biographical Info and they will appear here.