Pas godt på jeres persondata

Har du nogensinde bedt en kunde eller et medlem om cpr-nummer, uden at vedkommende i forvejen har afgivet skriftligt samtykke? Eller har du lagt medarbejderfoto ud på firmaets hjemmeside uden at spørge dem om lov? 

I så fald har du brudt loven. Persondataloven.
- Persondataloven har vi haft i mange år, men der er faktisk ikke mange, der har overholdt reglerne i den. Det er ikke blevet holdt specielt meget øje med den, og konsekvenserne af at bryde den har været meget små. konstaterer Klara Hoffritz, advokat og politisk juridisk konsulent i HK/Privat.
Men nu kommer alle, der arbejder med persondata, til at tage reglerne alvorligt. For paragrafferne i persondataloven afløses om et lille års tid af en EU-forordning, hvor det kan udløse gigantiske bøder ikke at holde styr på sine persondata.
Formålet med regelsættet er at beskytte borgerne. Reglerne - både de nuværende og de kommende - gælder hvilken som helst oplysning, der kan føres tilbage til en bestemt person, lige fra telefonnummer over skostørrelse til seksuel orientering.
Det er din arbejdsgiver, der har ansvaret for, at reglerne bliver overholdt, så hvis du ikke allerede har hørt om procedureændringer i forhold til jeres omgang med persondata, kommer du nok til det. Eller det burde du i hvert fald. For reglerne kommer til at få betydning for stort set alle arbejdspladser, for de nye regler gælder for alle fra den lille håndværksmester, over medlemsorganisationen til industrigiganten, fortæller advokat Klara Hoffritz.

Data må ikke gemmes længere end nødvendigt

Den nye EU-persondataforordning virker fra 25. maj 2018. Den skærper blandt andet reglerne for, at et firma ikke må indsamle flere personoplysninger, end der er behov for. For eksempel må en butik ikke bede om dit cpr-nummer for at sælge dig et stykke tøj eller melde dig ind i en kundeklub. Mens en tandlægeklinik har brug for det, fordi der er tilskud fra det offentlige til tandlægebehandlinger.
Ifølge de nye EU-regler må virksomhederne heller ikke gemme informationerne længere end højst nødvendigt. Rigtig mange administrative medarbejdere håndterer personoplysninger på kunder, medlemmer, ansatte, brugere - hver dag. Når medlemmet melder sig ud, kunden har handlet, medarbejderen er holdt op, eller den ledige er kommet i job, skal oplysningerne om dem i princippet slettes. Medmindre man har en berettiget interesse i at beholde oplysningerne i en periode. Det kan for eksempel være, så længe kunden har reklamationsret over noget, han eller hun har købt.

Bøde til arbejdspladsen, ikke til dig

Persondataforordningen strammer også op på, hvordan der indhentes samtykke fra folk, inden man indsamler deres personlige oplysninger eller bruger dem til noget som helst.
Det er ledelsen, der skal finde ud, hvad der skal gøres på jeres arbejdsplads. Som medarbejder betyder det, at du formentlig kommer til at skulle ændre vaner i dagligdagen.
- For det handler om at få tænkt håndteringen af persondata ind i alle sine arbejdsprocesser: Hvilke oplysninger gemmer vi? Og hvor? Hvad må vi udlevere og til hvem? Er der brug for, at vi krypterer vores mailsystem? Hvordan skal vores slettepolitik se ud? nævner Klara Hoffritz.
For EU mener det alvorligt: Din arbejdsplads kan blive idømt bøder på op til fire procent af virksomhedens omsætning, dog maksimalt 20 millioner euro, hvis den ikke overholder reglerne for behandling af personoplysninger.
Måske sidder du nu og spørger dig selv, om du også kan få en svimlende stor bøde, hvis du kommer til at gøre noget forkert efter den 25. maj næste år. Svaret er som udgangspunkt nej - medmindre du forsætligt gør noget, der er indlysende skadeligt, strider mod firmapolitikken, er groft uansvarligt og på anden måde ulovligt!