Advokat Kira Kolby Christensen

Sikkerheden skal være i top, så uvedkommende ikke kan få fat i persondata, siger advokat Kira Kolby Christensen. Foto Lisbeth Holten.

Syv ud af 10 HK/Privat-medlemmer håndterer til dagligt persondata på jobbet. Og mere end halvdelen af dem er bekymrede for den nye persondataforordning, der træder i kraft i alle EU’s medlemslande fra 25. maj. Det viser en webundersøgelse blandt knap 500 medlemmer, som fagforeningen gennemførte i slutningen af februar.

Andelen af bekymrede medlemmer overrasker slet ikke Kira Kolby Christensen, som er advokat hos Elmer Advokater, og som gennem det seneste år har rådgivet virksomheder om EU-forordningen.

- Der er aldrig nogen, som har følt sig rigtig godt klædt på til at overholde reglerne om persondata. Det har ganske enkelt ikke været prioriteret særlig højt, siger hun og fortsætter:
- Overtrædelser af persondataloven har ikke haft nogen konsekvenser. Derfor har det været den mest overtrådte lov efter færdselsloven. Og store spillere som fx Facebook og -Google har set stort på de europæiske regler om behandling af personoplysninger. Det har sat skub i ønsket om væsentlige stramninger. Og nu har EU sat tommelskruerne på, siger hun.

 

Læs også, hvordan fem medlemmer tackler de nye persondata-regler

Krav til hjemmel og sikkerhed
Reglerne er komplicerede, men de kan koges ned til noget håndgribeligt, mener Kira Kolby Christensen.
- Fremadrettet skal der skelnes mellem to former for persondata. De almindelige, som der ikke er nogen udtømmende liste over, men som omfatter alt fra dine lønoplysninger til din skostørrelse. Og så er der de særlige kategorier af personoplysninger, som er opremset i forordningens artikel 9, og som i daglig tale omtales som følsomme, siger hun.

Artikel 9 rummer helt præcist race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning og fagforeningsforhold, oplysninger om seksuelle forhold og seksuel orientering, helbredsoplysninger, men også genetiske og biometriske data, som behandles for at kunne identificere en person entydigt, forklarer advokaten.

- Der skal passes godt på alle data. Derfor skal hjemmelgrundlaget, for at vi indsamler, behandler og opbevarer data, være i orden. Sikkerheden skal også være i top, så uvedkommende ikke får adgang til data, siger Kira Kolby Christensen og fortsætter:
- I det øjeblik, en forbruger frivilligt vælger at indgå en aftale om en ydelse med en virksomhed eller en organisation, så har virksomheden eller organisationen hjemmel til at behandle almindelige personoplysninger, der er nødvendige, for at de kan opfylde aftalen med kunden. Når aftalen er afsluttet, kan der stadig være hjemmel til at beholde data i forhold til fx bogføringsregler og rådgiveransvar.

Hun forklarer, at virksomheden også kan behandle følsomme oplysninger, hvis det er strengt nødvendigt for at forfølge et retskrav. Til gengæld er der strengere krav til datasikkerhed og hjemmel, når det handler om følsomme personoplysninger.

Bøder på 20 mio euro - eller mere
- Men det store nye er, at der er væsentligt forhøjet bødeniveau og fokus på efterlevelse af reglerne, siger Kira Kolby Christensen og slår op i artikel 83, stk. 5, i et slidt eksemplar af forordningen.

- Datatilsynet kommer til at kunne udstede administrative bøder på op til 20 millioner euro. Men hvis der er tale om en virksomhed, så kan det nå op på fire procent af den samlede globale omsætning, hvis altså det er mere end 20 millioner euro. Så det er ikke småting, der kan komme i statskassen.

Datatilsynet skal fremadrettet ikke bare vejlede, men altså sanktionere virksomheder, som ikke har styr på alle data. Og det har virksomhederne forstået:
- Netop derfor har vi set stor aktivitet rundt om i virksomhederne den seneste tid. De har været i fuld gang med at lave sikkerheds-, rettigheds- og sagsbehandlingspolitikker, instrukser til medarbejderne, set på databehandlerkontrakter og it-systemer, siger Kira Kolby Christensen.

Grov uagtsomhed kan få konsekvenser
Kira Kolby Christensen mener ikke, at medarbejderne skal være bekymrede:
- Hvis der overhovedet er nogen, som skal være bekymrede, er det arbejdsgiveren. For som dataansvarlig er det arbejdsgivers ansvar, at der ikke sker brud på persondataforordningen. Som medarbejder skal du holde dit fokus på at følge din arbejdsgivers instruks.

HK/Privats egen advokat, Klara Elisabeth Hoffritz, er helt enig. Og netop fordi det er et arbejdsgiveransvar, vil Datatilsynet ikke som udgangspunkt gå efter medarbejderne. Men skulle en medarbejder med forsæt bryde reglerne og handle groft uagtsomt, så kan det få konsekvenser:

- Det kan få ansættelsesretlige konsekvenser - altså påtale, advarsel, afskedigelse eller bortvisning, alt afhængigt af hvor groft et forhold der er tale om, siger Klara Elisabeth Hoffritz og opfordrer alle HK-medlemmer til at kontakte deres lokale HK-afdeling, hvis det nogensinde skulle ske.

Vil du vide mere?
… Så læs mere i Datatilsynets vejledninger om databeskyttelse

Hent vejledningerne

 

8 gode råd om persondata

  • Hold fokus på at følge din arbejdsgivers instruks.
  • Hent altid dine print med det samme.
  • Lås computeren, når du går fra den.
  • Pak papirer med persondata sammen, og lås dem eventuelt inde, når du går fra dem.
  • Tag samtaler, hvor følsomme persondata bliver nævnt, uden for kollegers hørevidde, eller undgå at sige personens navn.
  • Informer altid tredjepartspersoner, hvis du registrerer oplysninger om dem, eller anonymiser oplysningerne.
  • Send altid særligt følsomme oplysninger via sikker/krypteret e-mail.
  • Slet alle oplysninger, der ikke længere er nødvendige at have - også e-mails. Altså need to have, ikke nice to have.