Smart håndbog om ny databeskyttelsesforordning

Personoplysninger er enhver form for information, der kan henføres til fysiske personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Oplysninger i form af f.eks. et billede eller et fingeraftryk er også personoplysninger.

Der skelnes mellem personoplysninger og ”følsomme personoplysninger”: 

• Race, etnisk oprindelse
• Politisk, religiøs overbevisning
• Fagforeningstilhør
• Helbredsoplysninger
• Seksuel orientering
• Genetiske data
• strafbare forhold
• CPR-nummer

Almindelige personoplysninger:

Navn, adresse, fødselsdato
• Børn og relaterede
• Familieforhold, bolig, bil
• Ansættelsesdato, stilling
• Job ansøgning, CV
• Skat og Gæld

Håndtering af personoplysninger
- Du må behandle personoplysninger, hvis du har lovgrundlag for det eller har fået borgerens samtykke.

Behandling af CPR-nummer
CPR-numre behandles som udgangspunkt som følsomme oplysninger ,og må derfor kun behandles, når det er nødvendigt som følge af lovgivningen, eller der er givet samtykke.
Strafbare forhold
Oplysninger om strafbare forhold må kun behandles, hvis der foreligger samtykke, eller det er nødvendigt for at varetage en berettiget interesse.

Behandling af følsomme oplysninger
- er som udgangspunkt forbudt. Der er dog undtagelser:
• hvis den registrerede har givet udtrykkeligt samtykke,
• hvis det eksempelvis kan beskytte den registreredes eller andres vitale interesser, eller
• hvis det er nødvendigt for at overholde arbejdsretlige forpligtelser (lovbestemt grundlag)

• Du må kun behandle personoplysninger, hvis du har lovgrundlag for
det, eller du har fået borgerens samtykke i en erklæring, som tydeligt forklarer, hvad dataen skal bruges til.
• Hvis dataen skal bruges til flere formål, skal det fremgå tydeligt af samtykkeerklæringen.
• Du må kun indhente data, som er nødvendig for, at du kan løse din opgave.

Hvis du opdager, at data er fejlagtige, skal du sørge for, at de bliver rettet eller opdateret hurtigst muligt.

Data, som indeholder personoplysninger, og som skal gemmes i mere end 30 dage, skal lagres i et fagsystem eller i SBSYS, hvor der er en logning af, hvem der har tilgået data, hvem der har rettet i data, og hvornår det er sket.
Det gælder også for personoplysninger, som du håndterer via Outlook.

Det sikrer også, at data er sikkerhedskopieret og
kan gendannes ved menneskelige, tekniske fejl eller hackerangreb.

Du må ikke gemme data længere, end det er nødvendigt for at løse opgaven
• Din afdeling skal have en beskrevet procedure for, hvor længe du gemmer data i hvert enkelt system og/eller sagstype.
• Din afdeling skal have en beskrevet procedure for, hvordan data slettes inden for tidsfristen
• Hvis data skal sendes til arkiv, skal lokalarkivet sørge for, at det sker, inden data slettes, og at retningslinjerne for anonymisering af data er opfyldt.

På blanketter, selvbetjeningsløsninger mv. skal borgeren være oplyst om følgende:

Formålet med behandlingen
• Hvilke afdelinger der bruger data
• Kontaktoplysninger på afdelingerne
• Kontaktoplysninger på Databeskyttelsesrådgiveren
• Det er en lovmæssige hjemmel, der ligger til grund for indsamling og behandling af data
• Hvem data eventuelt videregives til
• Hvornår data slettes
• Klagemulighed og ret til indsigt i data

Hvis borgeren spørger, har hun/han krav på at få svar på følgende inden for 30 dage. Det er vigtigt, at svaret er let forståeligt og ikke bliver for teknisk.

Hvilke data kommunen har om borgeren
• Hvad vi bruger data til
• Hvor vi har fået data fra
• Hvem der har adgang til data
• Med hvilken lov eller samtykke vi har ret til at anvende data
• Hvor/hos hvem data opbevares