Personfølsomme data
Brug af personfølsomme oplysninger, skal registreres
Kender du persondataloven? Persondataloven er den lov, der handler om behandling af personoplysninger, og den gælder for både private virksomheder og offentlige myndigheder. Og især handler loven om, hvornår vi har pligt til at anmelde behandling af personfølsomme oplysninger (eller, personhenførbare oplysninger, som det retteligt hedder).
Anmeldelsespligt ifølge persondataloven gælder ved behandling af alle fortrolige oplysninger – altså oplysninger, som er af en sådan karakter, at de efter den almindelige opfattelse i samfundet ikke bør blive offentligt kendt. De fortrolige personoplysninger deler loven igen op i følsomme og ikke-følsomme oplysninger. Følsomme oplysninger er oplysninger om rent personlige forhold, som oplysninger om race eller etnisk baggrund, politisk eller religiøs overbevisning og oplysninger om helbredsforhold.
Når en virksomhed eller en offentlig myndighed behandler fortrolige personoplysninger, skal det meldes til Datatilsynet. Og hvis det handler om følsomme oplysninger, skal Datatilsynet først give tilladelse, før data må bruges (…. jeg ved godt, at virkeligheden nogle gange ser anderledes ud). Det er værd at være opmærksom på pligten i forbindelse med brancher, der rutinemæssigt har med følsomme oplysninger at gøre, for eksempel revisorer og alternative behandlere – uden sammenligning i øvrigt. Vores erfaring er, at det godt kan tage noget tid at få tilladelse til ”behandlingen”, som loven kalder det.
Og hvad dækker begrebet behandling så over? Det kan siges kort: Stort set alt indenfor databehandling, som omfatter personfølsomme oplysninger. Elektronisk eller på papir, det gør ingen forskel. For de fleste af os er det nok ikke en overraskelse, at registrering, videregivelse og samkøring af oplysningerne kræver en anmeldelse. Men faktisk skal også almindelig tekstbehandling som breve og interne sagsreferater samt behandling af personoplysninger i et regneark anmeldes. Og det er ligegyldigt, om der kun bliver behandlet data fra én enkelt person.
Hvad skal ikke anmeldes? Der er en række behandlinger, som er undtaget loven. Det gælder blandt andet bibliotekssystemer, offentlige servicesystemer og – måske mest interessant her – personaleadministrationssystemer.
Hvordan skal behandlinger anmeldes? Det er ikke de enkelte registre eller it-systemer, der skal anmeldes men selve behandlingen. Anmeldelsen sker via et elektronisk skema på Datatilsynets hjemmeside.
Vi har arbejdet med persondataloven i mange år hos REVI-IT og svarer meget gerne på spørgsmål omkring kompleksiteten og de tilhørende bekendtgørelser (f.eks. herunder f.eks. omkring outsourcing mv.).
Se mere på Datatilsynets hjemmeside, eller klik her for at læse persondataloven.