I en verden, hvor vi konstant interagerer digitalt, er personoplysninger blevet en central ressource både for private borgere og for virksomheder. At håndtere disse oplysninger korrekt er ikke kun et spørgsmål om etik, men også et spørgsmål om lovgivning. Hvis virksomheder behandler personoplysninger forkert, risikerer de alvorlige konsekvenser, og privatpersoner kan opleve krænkelse af deres privatliv. Derfor spiller GDPR (Databeskyttelsesforordningen) en afgørende rolle. Overtrædelser kan føre til store bøder, tab af tillid og juridiske problemer, og for privatpersoner kan det betyde misbrug af deres data.

Hvad er personoplysninger? 

Personoplysninger er enhver form for information, der kan forbindes til en bestemt person, også selvom det kræver, at oplysninger kombineres med andet data for at identificere personen. Hvis dataen kan bruges til at identificere en person, kaldes det personhenførbart. Det er netop disse sarte oplysninger, som lovgivningen har til mål at beskytte. 

Typer af personoplysninger

Der findes flere forskellige typer personoplysninger — og det er vigtigt, fordi behandlingsreglerne varierer afhængigt af typen. GDPR skelner primært mellem tre forskellige kategorier af personoplysninger, som skal behandles eller håndteres på mere eller mindre restriktive betingelser:

Generelle personoplysninger

Disse er de almindelige oplysninger, som ikke er klassificeret som særligt følsomme. Det kan være:

• Navn, adresse, alder, uddannelse 
• Økonomiske forhold som gæld eller skat 
• Sociale forhold, sygedage, ansættelsesoplysninger, CV, bolig, bil osv.

Følsomme personoplysninger

Dette er oplysninger, der er mere sarte og derfor kræver særlig beskyttelse. Listen inkluderer: 

• Race og etnicitet 
• Politisk overbevisning 
• Religion eller filosofi 
• Fagforenings­tilhørsforhold 
• Genetiske data og biometriske data (f.eks. fingeraftryk) 
• Helbredsoplysninger 
• Seksuelle forhold eller orientering

Oplysninger om strafbare forhold

Dette dækker oplysninger om kriminelle forhold og personens straffeattest, for eksempel at en person har begået en lovovertrædelse, eller at der er sanktioner mod personen. 

Begrebet er bredt og omfatter ikke kun domme, men også andre sanktioner som fratagelse af rettigheder.

Fortrolige oplysninger og CPR-nummer

Fortrolige oplysninger og følsomme oplysninger er ikke nødvendigvis det samme, men kan begge være særligt beskyttede. Et eksempel på dette er ens CPR-nummer, som ifølge dansk lovgivning har særlige regler og dermed betragtes som fortroligt. 

Hvornår og hvordan må virksomheder behandle personoplysninger?

Behandling af personoplysninger er enhver aktivitet, der indebærer behandling af personlig data: indsamling, opbevaring, videregivelse, sletning, osv. 

For at behandlingen er lovlig, skal følgende principper være opfyldt:

Lovlighed, rimelighed og gennemsigtighed: Behandlingen skal ske på et retsligt grundlag og være tydelig for de registrerede. 

Formålsbegrænsning: indsamles og behandles til klare, specifikke og legitime formål. Virksomheden skal altså kunne forklare, hvorfor oplysningerne indsamles, og hvordan de skal bruges. Formålet må ikke ændres senere på en måde, der er uforenelig med det oprindelige mål sat for indhentningen. 

Dataminimering: Kun den data, som er nødvendig for formålet, må indsamles. Det betyder, at man ikke må opsamle “for en sikkerheds skyld”-data. Dataminimering kræver, at virksomheden løbende vurderer, om hver enkelt oplysning faktisk er nødvendig, og sletter eller undlader at indsamle data, der ikke bidrager til formålet.

Begrænsning af opbevaring: Dataen må ikke gemmes længere end nødvendigt.

Integritet og fortrolighed: Der skal være passende sikkerhed for beskyttelse mod uautoriseret adgang.

Ansvarlighed: Virksomheden (den dataansvarlige) skal kunne dokumentere, at reglerne overholdes.

Rettigheder og ansvar

Når der tales om ejerskab af personoplysninger, er det vigtigt at forstå, at den registrerede (personen dataen vedrører) har en række rettigheder som f.eks. retten til indsigt, rettelse, sletning og begrænsning af behandling under GDPR.

Samtidig har virksomheden, der behandler dataen, ansvaret for at beskytte personen, hvis data det omhandler, overholde GDPR og sikre, at registrerede kan udøve deres rettigheder.

Sikkerhed og konsekvenser

For at beskytte personoplysninger, skal virksomheder implementere tekniske og organisatoriske sikkerhedsforanstaltninger. Dette indebærer kryptering, adgangskontrol, backup, risikovurdering, osv.  

Hvis reglerne ikke overholdes, hvilket f.eks. kan ske ved et datalæk, uberettiget adgang eller ved forkert behandling, kan dette føre til alvorlige konsekvenser. Disse konsekvenser kan være store bøder, juridisk ansvar, samt skade på virksomhedens omdømme.

Meo kan rådgive jer om datahåndtering, hjælpe med at etablere processer og sikkerhedsforanstaltninger, der sikrer, at I overholder GDPR og beskytter persondata effektivt. 

Lad MEO stå for jeres håndtering af kundedata

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Onbord dine kunder digitalt - ved hjælp af sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet spor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav — både GDPR og AML.