Sådan holder I jer inden for reglerne

Disse data skal opbevares og håndteres med ekstra sikkerhed. Sender I dokumenter med personfølsomme oplysninger elektronisk, skal det gøres som sikker e-mail med NemID og digital signatur.
Man må hverken gemme eller bruge særligt følsomme oplysninger uden udtrykkeligt samtykke fra vedkommende. Cpr-nummer er en ikke-følsom oplysning, men du må alligevel ikke bruge det/gemme det uden udtrykkeligt, skriftligt samtykke. Portrætfotos er også en personfølsom oplysning og kræver udtrykkeligt samtykke, før du må offentliggøre dem på internettet. Det gælder for eksempel også medarbejderfoto.

I skal kunne forklare alt, I gemmer

Hvis du indsamler ikke-følsomme oplysninger om kunder, leverandører, medlemmer eller medarbejdere, skal du fortælle dem det. Alle har ret til at få at vide, hvilke informationer der indsamles om dem, hvad de skal bruges til, og hvor længe de vil blive gemt. Navne, adresser, telefonnumre, mailadresser, kontonumre og oplysninger om løn og gæld er ikke-følsomme oplysninger. Men din arbejdsplads skal kunne gøre rede for, hvorfor persondataene bliver indsamlet, hvad de skal bruges til, om oplysningerne bliver gemt, samt hvornår de bliver slettet.

I skal slette alt, I ikke bruger

Helt overordnet må I ikke gemme en eneste personoplysning, der ikke skal bruges til noget – eller som ikke længere skal bruges. Så du må ikke bruge din mailboks som vidensdatabase og gemme oplysninger om folk, hvis du ikke kan argumentere for, at det er strengt nødvendigt. Hvis det skal være helt stringent, bør du hver dag gennemgå alle dine mail og slette dem, du ikke længere har brug for. I skal jævnligt gennemgå databaser og sagsmapper for at sikre, at alle oplysninger stadig er relevante. Er de ikke det, skal de slettes.

Kun dem, der skal bruge oplysningerne, må have adgang til dem

Det er kun de medarbejdere, der arbejder med persondataene (lige meget om de er personfølsomme eller ej), der må have adgang til oplysningerne. Har I databaser med persondata, er det altså kun dem, der skal behandle oplysningerne, som må have password til databaserne.
For at kunne opfylde det formål, som oplysningerne er indsamlet til, når en opgave er udført, bør du slette alle data relateret til opgaven medmindre det fortsat er nødvendigt at identificere personen.

I skal lave aftaler med jeres it-leverandører

Hvis du bruger digitale systemer til fx at sende nyhedsbrev ud til kunder, skal din arbejdsplads have en databehandleraftale med system-leverandøren. Det vil sige, at de skal skrive under på, at de behandler de oplysninger (som navn og e-mail), der tastes ind i systemet, sikkert. Det samme gælder, hvis I bruger online tjenester som fx Skype eller Googledocs til at kommunikere med kunder eller leverandører på.

Reglerne gælder også på de sociale medier

Reglerne gælder også på de sociale medier. Du må aldrig offentliggøre personfølsomme oplysninger her - tekst eller billeder - uden samtykke. Så når du offentliggør tekst eller billeder på de sociale medier, af, er det omfattet af persondataloven. Du må ikke lægge portrætfotos op uden samtykke. Det kan være o.k. at lægge situationsbilleder op fra fx sommerudflugt eller teambuildingdag, hvis de ikke er kompromitterende. Men det er altid en god ide at spørge dem, der er afbilledet, først.

Arbejdsgiverens ansvar

Det er din arbejdsgiver, der har ansvaret for, at lovgivningen bliver overholdt. Du har ikke pligt til at anmelde det til myndighederne, hvis du opdager, at reglerne ikke bliver fulgt, og du kan som udgangspunkt ikke blive holdt ansvarlig.

Kilder: Klara Hoffritz, advokat og politisk juridisk konsulent i HK, Brian Oswald, advokat og underviser i jura, datatilsynet.dk, retsinformation.dk, ec.europa.eu/justice/data-protection/reform