GDPR-guide: Spot en personoplysning
GDPR handler om personoplysninger. I denne guide får du fod på, hvad personoplysninger grundlæggende er.
GDPR dikterer, hvordan du må og skal behandle personoplysninger for at beskytte dem korrekt.
- Men hvornår er en oplysning i det hele taget en personoplysning?
- Og hvorfor er det overhovedet vigtigt?
Vi giver dig et indblik, så du kan blive venner med GDPR (I skal alligevel følges ad), og du får styr på præmissen.
Grundlaget for at blive venner med GDPR
GDPR kræver en masse af dig og virksomheden. I skal føre en fortegnelse, lave politikker, risikovurderinger, oplysningsskrivelser, en hændelseslog – og mere til. Alt sammen med udgangspunkt i de personoplysninger, I behandler. Det er benhårdt og besværligt. Men for at kunne løse alle de opgaver rigtigt, skal du grundlæggende kunne genkende en personoplysning, når du ser den. Og det er ikke altid ligetil.
Hvad betyder det at behandle og håndtere personoplysninger?
Det betyder alt, hvad du kan finde på at gøre med personoplysninger (elektronisk eller på papir), for eksempel indsamle, registrere, systematisere, opbevare, sikre, ajourføre, ændre, søge, bruge, videregive, formidle, samkøre og slette. I alle disse handlinger hviler GDPR's blik på dig.
Hvorfor interessere sig for personoplysninger og passe på dem?
Personoplysninger tilhører den enkelte. Det er dig, der ejer alle oplysninger om dig selv. Og når du behandler andres, har du dem kun til låns. Ligesom hvis du låner en fysisk ting af nogen, skal du behandle en personoplysning med respekt, og du låner den kun, hvis du har en god grund til det. Du kan heller ikke bare give den videre til andre eller efterlade den på åben gade. Og hvis du ødelægger eller mister den, skal du gå til bekendelse. Præcis som du ville gøre, hvis det var en bil, en bog eller en badebold.
Personoplysninger er en hård valuta, især i en digitaliseret verden. De kan bruges til alt fra at målrette annoncer til så skumle ting som at påvirke folkeafstemninger. Og selv om din intention aldrig kunne være at misbruge de personoplysninger, du behandler i dit arbejde, så er det for at beskytte den enkelte – privatlivets fred og ejendomsretten – at GDPR er sat i verden. For hvis oplysningerne lander i de forkerte hænder, kan de misbruges.
Hvad er en personoplysning – helt grundlæggende?
Enhver oplysning som kan identificere en bestemt person, er en personoplysning. Ofte er det lige ud ad landevejen, for eksempel CPR-nummer, navn, og direkte telefonnummer. Her er det enkelt at se, at der er tale om personoplysninger, som du i sagens natur umiddelbart skal beskytte og opbevare efter alle GDPR-kunstens regler.
Andre gange er det mere speget. For nogle oplysninger er – isoleret set – ikke personoplysninger. Det bliver de først, når de kombineres med andre. Men kan man uden at anstrenge sig særlig meget koble oplysningen til en bestemt person, altså kombinere, så har du pludselig at gøre med en personoplysning. Og GDPR med alt sit væsen og sine regler er på spil.
Eksempel: Hvis I GPS-logger jeres servicevogne, og der kun står vognnummer i loggen, så er det ikke i sig selv en personoplysning. Men hvis der for eksempel i frokoststuen hænger en liste over hvem der kører i hvilke vogne, er det ret enkelt at koble de to, og GPS-loggen er blevet til en personoplysning. Ved sådanne oplysninger skal du altid tænke GDPR.
Nogle personoplysninger er mere kostbare end andre
I Danmark har vi tre kategorier af personoplysninger: Almindelige, fortrolige og følsomme. Kategorierne indikerer, hvor forsigtig og påpasselig du skal være med oplysningerne. Altså hvor (ekstra) godt de skal beskyttes, hvor længe du må opbevare dem, og hvor kritisk et brud på sikkerheden omkring dem vil være.
- Fortrolige: CPR-nummer; strafbare forhold.
- Følsomme: Racemæssig eller etnisk baggrund; politisk, filosofisk eller religiøs overbevisning; fagforeningsmæssige forhold; helbredsoplysninger; seksualitet; genetiske og biometriske data (fingeraftryk, irisscanning, blodprøver).
De almindelige personoplysninger er sværere at afgrænse, men når du arbejder med løn- og personaleadministration, vil virksomhedens lønbogholder typisk støde på data som:
- Stamoplysninger (navn, adresse, fødselsdato, telefonnummer, e-mailadresse)
- Lønoplysninger (løn, pension, skat, kontonummer)
- Oplysninger om ansættelsesforhold (ansættelseskontrakt, arbejdstider, stilling, uddannelse, arbejdsopgaver, perfomancebedømmelser, advarsler, personlighedstest, personalesamtaler, barselsplaner)
- Logninger (internetbrug, it-systemer, adgangskort, telefonsamtaler, GPS-oplysninger, videoovervågning, e-mails)
- Jobansøgninger og cv (uddannelse, eksamensoplysninger, tidligere beskæftigelse)
- Kontaktoplysninger på nærmeste pårørende
Vil du vide mere og have hjælp med virksomhedens GDPR-arbejde, kan du kontakte vores juridiske GDPR-specialister på 72 27 90 16.
Læs også om: DataLøn Tid - vores tidsregistreringssystem