Er jeres samlinger af personoplysninger omfattet af Persondataforordningen?

Af kontrakt- og udbudsjurist Erik B. Christiansen 

Svaret er: ”Ja”, hvis I har organiseret jeres oplysninger, så I uden særlige problemer kan finde frem til de enkelte personer og deres oplysninger. Derfor vil identificerbare personoplysninger, der opbevares elektronisk i IT – systemer altid være omfattet af Persondataforordningen, lige som de i dag er omfattet af den gældende Persondatalov. Dette gælder uanset om oplysningerne ligger i et stort IT-system, på din lokale PC, på en USB-nøgle eller i andre IT-midler.

Hvis dine personoplysninger derimod opbevares manuelt (på papir), afhænger det af, hvordan de er organiseret, om de er omfattet af Persondataforordningen.

Hvis oplysningerne er organiseret efter bestemte kriteriet som for eks. CPR nr., fødselsdato, navn i alfabetisk rækkefølge eller emneområder (som fx bestemte sygdomme), og hvis formålet med organiseringen er at kunne finde frem til oplysninger om bestemte personer, så vil samlingen være omfattet af Persondataforordningen som et manuelt register.

Derimod er tilfældige samlinger af personoplysninger som for eks. sagsbunker af sager eller en sagsbehandlers samling af sagsafgørelser (praksisoversigt) eller samlinger, der ikke beregnet til at identificere personer ikke omfattet af hverken Persondataforordningen eller den nugældende Persondatalov.

Samlet set handler det om, hvorvidt samlingen af personoplysninger er omfattet af Persondataforordningens ”registerbegreb” som det er defineret i forordningens artikel 4, nr. 6:

»register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag

 

og som det er omtalt i Persondataforordningens præambel nr. 15:

For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde.

Artikel 29-gruppen har udarbejdet guidelines om konsekvensanalyser

Det følger af forordningen, at det er obligatorisk at udarbejde en konsekvensanalyse, hvis en given databehandling vil ”indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder”.

Sanktionerne i tilfælde af en manglende udarbejdelse af en påkrævet konsekvensanalyse kan være op til 10 millioner euro, eller op til 2 % af virksomhedens årlige globale omsætning.

Kravet om udarbejdelse af konsekvensanalyser gælder alene for behandling af personoplysninger, der indledes efter den 25 maj 2018, hvor forordningen træder i kraft i Danmark.

DP · SOLUTIONS følger Artikel 29-gruppens arbejde og udsender nyheder, når der vedtages nye relevante vejledninger og guidelines.

https://www.datatilsynet.dk/nyheder/nyhed/artikel/artikel-29-gruppen-offentliggoer-ny-vejledning-mulighed-for-bemaerkninger/