Er jeres samlinger af personoplysninger omfattet af Persondataforordningen?
Af kontrakt- og udbudsjurist Erik B. Christiansen
Svaret er: ”Ja”, hvis I har organiseret jeres oplysninger, så I uden særlige problemer kan finde frem til de enkelte personer og deres oplysninger. Derfor vil identificerbare personoplysninger, der opbevares elektronisk i IT – systemer altid være omfattet af Persondataforordningen, lige som de i dag er omfattet af den gældende Persondatalov. Dette gælder uanset om oplysningerne ligger i et stort IT-system, på din lokale PC, på en USB-nøgle eller i andre IT-midler.
Hvis dine personoplysninger derimod opbevares manuelt (på papir), afhænger det af, hvordan de er organiseret, om de er omfattet af Persondataforordningen.
Hvis oplysningerne er organiseret efter bestemte kriteriet som for eks. CPR nr., fødselsdato, navn i alfabetisk rækkefølge eller emneområder (som fx bestemte sygdomme), og hvis formålet med organiseringen er at kunne finde frem til oplysninger om bestemte personer, så vil samlingen være omfattet af Persondataforordningen som et manuelt register.
Derimod er tilfældige samlinger af personoplysninger som for eks. sagsbunker af sager eller en sagsbehandlers samling af sagsafgørelser (praksisoversigt) eller samlinger, der ikke beregnet til at identificere personer ikke omfattet af hverken Persondataforordningen eller den nugældende Persondatalov.
Samlet set handler det om, hvorvidt samlingen af personoplysninger er omfattet af Persondataforordningens ”registerbegreb” som det er defineret i forordningens artikel 4, nr. 6:
»register«: enhver struktureret samling af personoplysninger, der er tilgængelig efter bestemte kriterier, hvad enten denne samling er placeret centralt eller decentralt eller er fordelt på funktionsbestemt eller geografisk grundlag
og som det er omtalt i Persondataforordningens præambel nr. 15:
For at undgå at skabe en alvorlig risiko for omgåelse bør beskyttelsen af fysiske personer være teknologineutral og ikke afhænge af de anvendte teknikker. Beskyttelsen af fysiske personer bør gælde for både automatisk og manuel behandling af personoplysninger, hvis personoplysningerne er indeholdt eller vil blive indeholdt i et register. Sagsmapper eller samlinger af sagsmapper samt deres forsider, som ikke er struktureret efter bestemte kriterier, bør ikke være omfattet af denne forordnings anvendelsesområde. |