Du har nok hørt om persondataforordningen, også kendt som GDPR, der blev indført i 2018. GDPR-reglerne handler om, hvordan man som virksomheder og organisationer skal håndtere persondata korrekt, og hvis man ikke har styr på reglerne, vanker der bøder. Det er en EU-forordning, der er skabt af både etiske og juridiske årsager, så EU borgerne er sikker på, de får indsamlet og behandlet deres personlige oplysninger efter grundlæggende rettigheder. Men Hvad er persondata? Og hvordan ved man, om man overholder GDPR? GDPR kan være en meget kompleks og uoverskuelig lovgivning, men hvis du læser med her, kan du lettere forstå, hvad persondata dækker over og få gode råd til at overholde GDPR.
Hvad er persondata?
Persondata er oplysninger, der kan bruges til at identificere en person. Det kan være et CPR-nummer, adresse eller beskæftigelse. Selvom en enkelt oplysning ikke henfører til en person, kalder man det persondata, hvis det er information man ved at kombinere med andre oplysninger, kan identificere en person med. Der findes forskellige kategorier af persondata. Ikke-følsomme oplysninger er for eksempel navn, adresse, alder, familieforhold, skatteoplysninger og uddannelse. Følsomme personoplysninger er for eksempel race og etnisk oprindelse, religiøs eller politisk overbevisning, genetiske data og helbredsoplysninger. Derudover er der oplysninger om strafbare forhold, samt fortrolige oplysninger, som for eksempel CPR-nummer, som reguleres særskilt i databeskyttelsesloven.
Hvordan overholder jeg GDPR?
Som du kan se, er der forskellige typer personoplysninger, og de skal håndteres forskelligt alt efter graden af følsomhed. Det kan derfor virke uoverskueligt at leve op til reglerne, for hvordan skelner man mellem de forskellige oplysninger? Dog, hvis du følger disse tre simple råd, kan du gøre arbejdet lettere for dig selv. Først og fremmest skal du altid kigge efter følsomme personoplysninger. Dernæst skal du behandle persondata som noget du låner: opbevar det sikkert og videregiv det ikke til andre, der ikke har tilladelse til at se dem. Til sidst skal du altid opsøge hjælp, hvis du er i tvivl – for eksempel hos Datatilsynet eller hos den dataansvarlige i din virksomhed.
Undgå bøder
Enhver organisation og virksomhed er forskellige, og vil derfor lave forskellige retningslinjer for, hvordan GDPR skal overholdes. Derfor har alle virksomheder en IT-sikkerhedspolitik, der fortæller, hvordan man som medarbejder overholder GDPR. Men hvis uheldet er ude, det kan for eksempel være du videresender en mail med følsomme oplysninger til den forkerte person, er der en procedure man skal følge. Man skal dokumentere sikkerhedsbruddet og give besked til Datatilsynet senest 72 timer efter det er opdaget. Så længe man overholder disse regler, samt holder sig opdateret om nye GDPR-retningslinjer og implementerer dem i sin IT-sikkerhedsstrategi, så er der lille risiko for bøde.
