Få styr på persondata: 5 råd på 5 minutter

Råd nummer 1: Identificér personoplysninger og behandling

Inden du kaster dig ud i et større GDPR-projekt, skal du undersøge, om persondataforordningen overhovedet er relevant for din virksomhed - og i så fald i hvilket omfang. Husk at forordningen kun gælder for behandling af personoplysninger. Derfor skal du identificere, hvor i din virksomhed, at der indgår personoplysninger og behandling.

Personoplysninger er kort fortalt alle oplysninger, der kan bruges til at ‘identificere’ en person - dette kan være alt lige fra navne til karaktertræk og IP-adresser. Oplysninger, der ikke kan kobles på en person, er derfor ikke personoplysninger.

Hvorvidt oplysningen kan kobles til personen afhænger ikke kun af, hvad der oplyses om, men også sammenhængen oplysningen indgår i.

Eksempel: En oplysning om “rødt hår” kan som udgangspunkt ikke kobles på en person, da der findes mange mennesker med rødt hår. En oplysning om “rødt hår” i en database, hvor der ellers er beskrevet andre oplysninger som fornavn, fødselsdag osv., er en personoplysning, fordi den indgår i en sammenhæng, der gør, at den kan kobles på en person. En oplysning om “rødt hår” i et register over Randers politistations ansatte kan også være en personoplysning, hvis der eksempelvis kun er ansat én medarbejder med rødt hår - altså kan oplysningen kobles til personen pga. sammenhængen, som den indgår i.

‘Behandling af personoplysninger’ er næsten alle handlinger, hvor personoplysninger indgår. Behandling af personoplysninger tæller eksempelvis som overførsel, indsamling, registrering, organisering, opbevaring, ændring, søgning, brug, sletning osv. af personoplysninger. Du kan næsten altid være sikker på, at du foretager en behandling, hvis du har med personoplysninger at gøre.

Sådan virker Legal Desk

Råd nummer 2: Få styr på behandlingsgrundlaget

Du skal have et såkaldt ‘lovligt behandlingsgrundlag’, før du må behandle personoplysninger.

Det mest udbredte behandlingsgrundlag er samtykke. Du har med stor sandsynlighed givet dit samtykke til behandling af persondata på én eller flere hjemmesider, når du er på internettet - det sker typisk automatisk, når du accepterer cookies på hjemmesiden. Et andet eksempel er det samtykke, du afgiver, når du lader din arbejdsgiver behandle personoplysninger fra din straffeattest i forbindelse med ansættelse.

Et gyldigt samtykke kræver ikke nødvendigvis papirarbejde - det skal bare være informeret, frivilligt og utvetydigt. Det betyder kort sagt, at:

a) folk forstår, hvad du bruger personoplysningerne til
b) der ikke er tvang eller pres forbundet med samtykket
c) der ikke er anledning til tvivl om, hvad der er givet samtykke til

Råd nummer 3: Lær principperne for databehandling

Hele persondataforordningen bygger på nogle overordnede principper. Principperne er et udtryk for selve grundtanken og kernen af forordningen. Hav principperne i baghovedet, når du behandler personoplysninger. Bliver du i tvivl om, hvorvidt det du gør er lovligt, så spørg dig selv, om det strider imod nogle af principperne. Vi anbefaler, at du printer artikel 5 ud af forordningen, der beskriver alle principperne. Hæng den op på væggen eller skriv dem på en sticky note, så de altid er synlige!

Råd nummer 4: Hav styr på procedurer, der sikrer privatpersoners rettigheder

I persondataforordningen er der stort fokus på privatpersoners rettigheder. Privatpersoners rettigheder er eksempelvis retten til at blive glemt (at få slettet personoplysningerne om en selv), og oplysningspligten (din forpligtelse til at udlevere alle de personoplysninger, som du har på vedkommende). Det kan være en god idé at tilpasse dit system til forordningens rettigheder fra start af, da det ellers kan gå hen og blive meget ressourcekrævende for dig og din virksomhed, at skulle opfylde forordningens krav manuelt. Uanset om du arbejder med én eller flere databaser, kan det blive tungt arbejde at skulle slette personers oplysninger manuelt - særligt hvis dit system er lettere kompliceret. Det er derfor en god ide, at du tilrettelægger dit system, så du nemt kan efterkomme privatpersoners ønsker og opfylde kravene i forordningen.

Selvom dit system endnu ikke er kompliceret, er det alligevel smart at få implementeret løsningerne, da det altid er nemmere og billigere at gøre i starten. Det er både udfordrende og tidskrævende, at omlægge hele sit it-system under en ekspansionsperiode, fordi det ikke lever op til forordningens krav.

Råd nummer 5: Husk datasikkerheden

Du forbinder måske datasikkerhed med investerede milliarder fra større virksomheder, men det behøver slet ikke at være så dyrt for dig. Den allervigtigste sikkerhedsforanstaltning, du skal bruge, er dit hoved. Mange databrud skyldes, at den ansvarlige for personoplysningerne ikke har tænkt sig om - så selvom du har krypteret din computer, så husk alligevel at låse den og stil den i et aflåst lokale, når du ikke bruger den. Husk også kun at gemme filer med personoplysninger på sikre servere og ikke på dit skrivebord.