Behandler du personoplysninger?

Behandler du personoplysninger i din virksomhed eller forening?

Det gør du nok helt sikkert. Behandler du personoplysninger om andre fysiske personer i din virksomhed eller forening, så skal du efterleve GDPR-reglerne i Databeskyttelsesforordningen og den supplerende danske databeskyttelseslov.

Der er mange, som er i tvivl om, hvorvidt noget er en personoplysning. Behandler du personoplysninger, når du behandler en adresse? Ja, vil de fleste svare. Og svaret er ja. Men behandler du personoplysninger, når du registrerer en persons tøjstørrelse i din tøjbutik? Ja, hvis du anvender oplysningen i forbindelse med andre oplysninger, som kan identificere den konkrete, fysiske person. Den kan for eksempel være kundens telefonnummer. Så kan du indirekte koble tøjstørrelsen og personen sammen, og så behandler du personoplysninger.

Min erfaring er kort sagt, at rigtig mange virksomheder og foreninger er i tvivl om, hvad der er personoplysninger. Og hvad der er endnu vigtigere at vide, nemlig, at der er forskel på personoplysninger.

Ved du, hvad en personoplysning er?

Tag et kig på billedet på dette indlæg. Behandler du personoplysninger som nogle af disse om andre mennesker, så er din virksomhed eller forening omfattet af GDPR-reglerne.

Men listen over de oplysninger der kan kaldes personoplysninger, er meget længere end det der fremgår af billedet. Og faktisk så kan du – som en tommelfingerregel – gå ud fra, at langt de fleste oplysninger vil være personoplysninger, fordi de enten direkte eller indirekte kan identificere en konkret fysisk person.

Omvendt kan du argumentere for, at mange oplysninger, hver for sig, ikke er en personoplysning. Men hvis oplysningerne sættes sammen med andre oplysninger om personen, så bliver oplysningerne personoplysninger i det større billede, og så behandler du personoplysninger.

Jeg vil desuden anbefale, at du læser mere på Datatilsynets hjemmeside, for du får kun den korte version her.

Kan du kende forskel?

Behandler du personoplysninger i din virksomhed eller forening, så har du et ansvar for at sikre, at behandlingen sker lovligt, gennemsigtigt og med respekt for individets rettigheder.

Generelt så kan du helt overordnet opdele personoplysninger i  hhv. almindelige og følsomme personoplysninger.

Den sidstnævnte gruppe er defineret i artikel 9 i GDPR-reglerne. Det betyder, at det er disse, og kun disse personoplysninger, som kaldes følsomme personoplysninger. Samtidig er det vigtigt at vide, begrebet “følsom personoplysning” skal fortolkes bredt. For eksempel er oplysninger om en persons allergier, arbejdsskader, biologiske prøvetagningsresultater,  medicinoplysninger og alkoholmisbrug alle helbredsoplysninger.

Og læg lige mærke til, at der IKKE er noget der hedder personfølsomme oplysninger! Du kan læse mere om, hvorfor på dette link.

De almindelige personoplysninger kan opdeles i to undergrupper, som er

• de almindelige personoplysninger
• de særskilt beskyttelsesværdige almindelige personoplysninger.

Både de følsomme og de særligt beskyttelsesværdige  almindelige personoplysninger vil altid skulle behandles fortroligt. Beskyttelseskravene fremgår af den supplerende danske databeskyttelseslov og de øvrige danske love, der regulerer beskyttelsen af personoplysninger.

Eksempler fra den særlige gruppe af særligt beskyttelsesværdige personoplysninger er CPR-nummeret, oplysninger om forældremyndighed, oplysninger om sikkerhedsgodkendelser og oplysninger om beskyttet navn og adresse.

Behandler du personoplysninger, skal du kende forskel!

Behandler du personoplysninger som de nævnte ovenfor, så skal du kunne kende forskel! Det skal du fordi de forskellige personoplysninger, kan og skal beskyttes forskelligt ud fra en risikobaseret tilgang.

Behandler du personoplysninger om for eksempel helbred, fagforeningsmæssigt tilhørsforhold, forældremyndighed, CPR-nummer og etnicitet, så skal du være særligt opmærksom på, at din IT- og Informationssikkerhed sikrer en passende teknisk og organisatorisk beskyttelse. Det skal du fordi, sikkerhedsbrud ved behandlingen af disse kategorier af personoplysninger medfører høj risiko for den registrerede person.

Det betyder selvfølgelig ikke, at du så ikke skal passe godt på de almindelige personoplysninger. Men her kan du sætte andre og lidt mindre skrappe krav til beskyttelsen af personoplysninger.

Kodeordet her er risikobaseret tilgang!

Det betyder, at du kan tilrettelægge din beskyttelse af personoplysningerne forskelligt, afhængigt af kategorien af personoplysninger. Behandler du personoplysninger om dine kunders navn og købshistorik, så kan du som udgangspunkt have et lavere beskyttelsesniveau. Men behandler du personoplysninger om dine ansatte faglige tilhørsforhold, årsager til sygefravær og oplysninger om deres eventuelle børns CPR-nummer for at kunne fastslå retten til omsorgsdage, så skal du ubetinget sikre dig, at dit beskyttelsesniveau er tilstrækkelig højt.

Skab Overblik!

Behandler du personoplysninger i din lille eller mellemstore virksomhed eller i den forening, du sidder i bestyrelsen for, så skal du starte med skabe overblik over

• HVILKE personoplysninger du behandler
• HVOR du opbevarer disse oplysninger.

Det er vigtigt at gå systematisk til værks. Og her er Datatilsynets GDPR-universer for små og mindre virksomheder og foreninger en god måde at få styr på det grundlæggende, det nødvendige og det tilstrækkelige inden for GDPR og IT- og Informationssikkerhed.

Du behøver ikke at dyre jurister eller specialuddannede IT-sikkerhedsspecialister til en start – faktisk er det bedre, hvis du kan løse det meste selv, for så forstår du bedre, hvorfor tingene er som de er.

Du kan få brug for specialisterne senere, men du skal i gang NU!

Tag det første skridt på rejsen: Skab Overblik!

Rejsen starter altid med det første skridt. Når du skal skabe overblik over dit IT- og behandlingslandskab, så start med at stille dig selv tre spørgsmål:

• HVEM behandler du personoplysninger om?
• HVILKE personoplysninger behandler du om dem?
• HVOR gemmer du disse personoplysninger?