For at svare på, hvad persondata egentlig er, skal vi starte med at have fat i EU’s definition fra Persondataforordningen (GDPR):
“Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person“.
Eller med andre ord er persondata: Al information, der kan identificere en bestemt person.
Selv hvis et navn eller en adresse er erstattet af en kode, vil der stadigvæk være tale om en personoplysning. Så længe det kan føres tilbage til den oprindelige individuelle personoplysning.
I Danmark skelner man typisk mellem tre kategorier af persondata:
- Almindelige persondata (f.eks. navn, adresse og e-mail)
- Fortrolige persondata (f.eks. cpr-nummer, økonomiske forhold og billeder)
- Følsomme persondata (f.eks. race/etnicitet, straffeattest og biometriske oplysninger)
Virksomheder skal beskytte persondata
Loven stiller krav om, at virksomheder beskytter alle interne og eksterne personoplysninger med tilstrækkelige sikkerhedsforanstaltninger.
Hvilke konkrete foranstaltninger er det dog op til den enkelte virksomhed at vurdere.
Typisk handler det om, at man skal sikre sig både teknisk (f.eks. med firewalls, opdateringer og it-infrastruktur) og organisatorisk (f.eks. med opdatering af adgangstillladelser, sikkerhedskurser og beskrevene procedurer).
Kryptering er også vigtig at forholde sig til. Datatilsynet anbefaler helt generelt kryptering, når man sender personoplysninger , personnumre og passwords via hjemmesider eller e-mail.
Dog stiller de utrykkeligt krav om kryptering, hvis man overfører følsomme oplysninger eller personnumre via hjemmesider.
Vær opmærksom på medarbejdernes persondata
Går man ind på en virksomheds hjemmeside, vil man ofte kunne finde navne og billeder på virksomhedens forskellige medarbejdere. Det er sandsynligvis helt i orden.
Virksomhederne må gerne oplyse om medarbejdernes navn, arbejdsområde, direkte telefonnummer og andre arbejdsrelaterede oplysninger på deres hjemmeside og intranet.
Det anses nemlig som en naturlig del af informationen om virksomheden, og derfor behøver virksomhederne ikke at få et samtykke fra medarbejderen.
Til gengæld må virksomheden kun offentliggøre persondata som f.eks. billeder af medarbejderen og privatnummer, hvis den ansatte aktivt har sagt ja til det.
Ønsker man f.eks. at offentliggøre medarbejderbilleder, er derfor ikke nok bare at skrive til medarbejderen. Og hvis han/hun ikke protesterer inden for f.eks. en uge, så må man ikke se det som et samtykke fra den ansatte.
Virksomheden skal nemlig kunne dokumentere, at medarbejderen aktivt har sagt ja.
Få styr på Persondataforordningen (GDPR)
Der skal være mulighed for indsigt og sletning af persondata
Både medarbejdere og privatpersoner har ifølge Persondataforordningen til hver en tid krav på at få oplyst, hvilke data virksomheden har registreret om den pågældende person.
Virksomhederne skal altså kunne oplyse, hvilke oplysninger der ligger om den enkelte person, formålet med at disse data er indamlet, kategorierne af modtagere af oplysningerne (er det f.eks. kundeservice eller marketingafdelingen, der har adgang til disse data?) og fortælle, hvor oplysningerne kommer fra.
Læs mere om persondataforordningen (GDPR) på Datatilsynets hjemmeside.
Eksempler på persondata
Eksempler på personfølsomme data
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.