I Danmark skelner man typisk mellem tre kategorier af persondata:

  • Almindelige persondata (f.eks. navn, adresse og e-mail)
  • Fortrolige persondata (f.eks. cpr-nummer, økonomiske forhold og billeder)
  • Følsomme persondata (f.eks. race/etnicitet, straffeattest og biometriske oplysninger)

Virksomheder skal beskytte persondata

Loven stiller krav om, at virksomheder beskytter alle de interne og eksterne personoplysninger, som de behandler, med tilstrækkelige sikkerhedsforanstaltninger.

Hvilke konkrete foranstaltninger er det dog op til den enkelte virksomhed at vurdere.

Typisk handler det om, at man skal sikre sig både teknisk (f.eks. med firewalls, opdateringer og it-infrastruktur) og organisatorisk (f.eks. med opdatering af adgangstillladelser, sikkerhedskurser og beskrevene procedurer).

Kryptering er også vigtig at forholde sig til. Datatilsynet anbefaler helt generelt kryptering, når man sender personoplysninger , personnumre og passwords via hjemmesider eller e-mail.

Dog stiller de utrykkeligt krav om kryptering, hvis man overfører følsomme oplysninger eller personnumre via hjemmesider.

Vær opmærksom på medarbejdernes persondata

Går man ind på en virksomheds hjemmeside, vil man ofte kunne finde navne og billeder på virksomhedens forskellige medarbejdere, og det er sandsynligvis helt i orden.

Virksomhederne må gerne oplyse om medarbejdernes navn, arbejdsområde, direkte telefonnummer og andre arbejdsrelaterede oplysninger på deres hjemmeside og intranet.

Det anses nemlig som en naturlig del af informationen om virksomheden, og derfor behøver virksomhederne ikke at få et samtykke fra medarbejderen til dette.

Til gengæld må virksomheden kun offentliggøre persondata som f.eks. billeder af medarbejderen og privatnummer, hvis den ansatte aktivt har sagt ja til det.

Ønsker man f.eks. at offentliggøre medarbejderbilleder, er derfor ikke nok bare at skrive til medarbejderen, at hvis han/hun ikke protestere inden for f.eks. en uge, så opfatter virksomheden det som et samtykke fra den ansatte. Virksomheden skal nemlig kunne dokumentere, at medarbejderen aktivt har sagt ja.

Der skal være mulighed of indsigt og sletning af persondata

Både medarbejdere og privatpersoner uden for virksomheden har ifølge persondataforordningen til hver en tid krav på at få oplyst, hvilke data virksomheden har registreret om den pågældende person.

Virksomhederne skal altså kunne oplyse, hvilke oplysninger der ligger om den enkelte person, formålet med at disse data er indamlet, kategorierne af modtagere af oplysningerne (er det f.eks. kundeservice eller marketingafdelingen, der har adgang til disse data?) og fortælle, hvor oplysningerne kommer fra.

Du kan læse mere om persondata Datatilsynets hjemmeside.

Eksempler på persondata

Eksempler på personfølsomme data: