REGLER FOR BEHANDLING AF PERSONOPLYSNINGER

En personoplysning er defineret som en oplysning om en fysisk person, som er eller kan identificeres. At det blot skal være muligt at kunne identificere den pågældende betyder, at også IP-adresser, kreditkortnumre, journaloplysninger mv. vil være personoplysninger omfattet af reglerne for behandling af personoplysninger, fordi de er personhenførbare.

BETINGELSER FOR BEHANDLING

Behandlingsreglerne, der bestemmer i hvilket omfang behandling af personoplysninger i det hele taget må finde sted, og som i udgangspunktet gælder for al persondatabehandling, inddeler oplysninger i kategorierne:

• Følsomme oplysninger, som blandt andet omfatter etnisk baggrund, helbredsmæssige og seksuelle forhold samt fagforeningsmæssige forhold.
• Andre følsomme oplysninger, såsom strafbare forhold, sociale problemer samt andre rent private forhold
• Almindelige oplysninger, såsom navn og adresse samt økonomiske forhold

For hver kategori er fastsat de kriterier, som skal være opfyldt, og begrebet behandling af personoplysninger omfatter i den forbindelse enhver form for håndtering af personoplysninger – herunder indsamling, registrering, opbevaring og videregivelse.

Reglerne indebærer i øvrigt ikke en pligt, men kun en mulighed for at behandle personoplysninger, og der kan i særlige tilfælde også ske behandling uden den registreredes samtykke. Eksempelvis kan der ske behandling uden samtykke, hvis det sker af hensyn til udførsel af en opgave i samfundets tjeneste, af hensyn til at varetage den registreredes vitale interesser, eller hvis det sker af hensyn til at opfylde en kontrakt eller en retlig forpligtelse.

Ved siden af de almindelige regler for behandling af personoplysninger skal den dataansvarlige desuden opfylde de helt grundlæggende betingelser. De indebærer, at indsamling skal ske til udtrykkeligt angivne og saglige formål, at indsamling kun skal omfatte de nødvendige og tilstrækkelige oplysninger til netop dette formål, at oplysningerne løbende skal opdateres og kvalitetssikres ved berigtigelse, ligesom de skal slettes, når de ikke længere er nødvendige til det oprindelige formål.

HVORDAN SIKRER MAN EN OVERHOLDELSE AF REGLERNE?

Gennem årene har vi set mange eksempler på sager, hvor den dataansvarlige er blevet kritiseret for at have indsamlet og behandlet oplysninger i strid med persondatalovens regler. Og med den nye persondataforordning – som trådte i kraft den 25. maj 2018 – er udfordringerne ikke blevet mindre. For at kunne dokumentere, at persondatareglerne efterleves, forudsætter persondataforordningen, at offentlige myndigheder, virksomheder og foreninger som dataansvarlige kortlægger, hvad der sker med oplysningerne fra de indsamles til de slettes eller arkiveres.

Det betyder,

• at man skal kortlægge kategorierne af oplysninger, der behandles,
• at man skal kortlægge typen af behandlinger, der foretages i organisationen
• at man skal have fordelt ansvaret for overholdelsen af reglerne i organisationens lokale enheder,
• at man skal have fastlagt og informeret internt om de interne procedurer, der skal følges for overholdelse af sikkerheds-, behandlings- og rettighedsreglerne
• at man også skal have de tekniske systemer på plads – navnlig mailsystemer, som i praksis ikke bare anvendes til intern/ekstern kommunikation, men også i høj grad til søgning, sagsbehandling og opbevaring

Alt med henblik på at sikre en efterlevelse af ikke bare den nugældende persondatalov, men også persondataforordningen.

Det er også en god idé at søge juridisk bistand til de persondataretlige spørgsmål, som med sikkerhed vil opstå ikke bare i den forberedende proces, men også efterfølgende i forbindelse med administrationen af reglerne i organisationen.