Hvad er persondata (og kan jeg slippe for det)?
af Mia Storm, Advokat
Hvis vi siger ”persondata”, hvad siger du så? De fleste tænker på CPR-nummer, blodtype og skatteoplysninger, men persondatabegrebet er faktisk meget bredere end som så – det dækker også e-mailadresse, navn, arbejdsadresse og IP-adresse.
Mange virksomheder er kommet sent ud af starthullerne, fordi de er gået ud fra, at persondataforordningen ikke var relevant for dem. ”Vi har kun B2B”, lyder argumentet – men B2B medfører også persondata, selvom det måske ikke er i lige så stort omfang som hos lægen eller socialrådgiveren.
Persondata er alle former for oplysninger, der kan henføres til en fysisk person; navn, køn, alder, fødselsdato, civilstand, sprog, adresse, telefonnummer, e-mail etc. Man skelner mellem almindelige data og følsom data, hvoraf sidstnævnte er data om race, politisk eller religiøs overbevisning, seksualitet, fagforeningsforhold, biometriske og genetiske data, samt oplysninger om strafbare forhold og helbredsoplysninger, der alle er underlagt skærpede krav til behandling.
Selv hos B2B-virksomheder vil der være en vis indsamling og behandling af persondata – for selvom man kun handler med andre virksomheder, vil der altid være mennesker involveret; kontaktpersonen hos kunden vil have et navn og en e-mail, måske et direkte telefonnummer eller en arbejdsadresse, og selvom handlen på papiret foregår mellem to virksomheder, vil der i praksis blive indsamlet og behandlet persondata på kontaktpersonen. Og så klapper fælden, så at sige.
Og selv hvis man forestillede sig en virksomhed, som aldrig havde nogen menneskelig kontakt, men kun anvendte automatiserede systemer, så vil der oftest være en overset detalje, nemlig medarbejderne. For virksomhedens egne medarbejdere er også omfattet af reglerne, og interne e-mailadresser, kontonumre til udbetaling af løn eller listen med kageordningen i kantinen er også persondata og vil være omfattet af forordningens regler.
Så hvis du indtil nu har tænkt, at forordningen ikke ville blive aktuel for dig – og du derfor kunne slippe for at sætte dig ind i den – så tager du med stor sandsynlighed fejl. Og så har du nok lige et par ting, du skal have kigget på, inden kalenderen siger 25. maj.
EU’s nye persondataforordning træder i kraft den 25. maj 2018. Som optakt hertil sætter vi øget fokus på forordningen ved at udgive en række blogindlæg om udvalgte emner. Læs mere her: Er du klar til den nye persondataforordning?
Har du spørgsmål til ovenstående eller har du brug for hjælp med persondataforordningen generelt, kan du kontakte advokat og CIPP/E Mia Storm på ms@otello.dk.