Personoplysninger

Det kan være en e-mailadresse ved udsendelse af nyhedsbreve eller navn og adresse ved en kundes køb af varer eller ydelser. Persondataloven indeholder forskellige regler, som skal beskytte oplysninger om fysiske personer, og de skal også overholdes på hjemmesider.

Persondataloven

Persondatalovens regler gælder for registrering og anden form for elektronisk behandling af personoplysninger. Personoplysninger er enhver form for information om en bestemt fysisk person, fx navn, bopæl, e-mailadresse, telefonnummer, etnisk baggrund, religiøs overbevisning, sociale problemer, strafbare forhold eller helbred. Persondataloven gælder som hovedregel ikke for behandling af oplysninger om virksomheder.

God databehandlingsskik

Hvis din virksomhed registrerer oplysninger om fysiske personer via sin hjemmeside, så skal oplysningerne behandles i overensstemmelse med god databehandlingsskik. Hvad der skal forstås ved god databehandlingsskik fremgår til dels af reglerne i persondataloven og dels af den praksis, der har udviklet sig fra Datatilsynets og domstolenes side om persondataloven.

Samtykke

Det er som udgangspunkt en forudsætning for, at din virksomhed kan behandle oplysninger om en fysisk person, at den pågældende har givet sit udtrykkelige samtykke til det, eller at behandlingen er nødvendig for at opfylde en aftale, som den pågældende er part i. Har en person fx indtastet oplysninger om sig selv i forbindelse med køb, så har din virksomhed ret til at behandle oplysningerne med henblik på at kunne opfylde aftalen.

Oplysningspligt

Hvis din virksomhed registrerer oplysninger om en fysisk person, skal den oplyse personen om blandt andet følgende: Virksomhedens identitet, formålet med behandlingen af oplysningerne, modtagerne af oplysningerne, personens ret til at få indsigt i og korrigere oplysningerne, og personens ret til at gøre indsigelse mod din virksomhed behandling af oplysningerne. Oplysningspligten opfyldes ofte ved en persondatapolitik, se nedenfor.

Videregivelse

Din virksomhed må ikke videregive oplysninger om en fysisk person til andre, medmindre personen har givet sit udtrykkelige samtykke til det. Dog kan din virksomhed videregive generelle, ikke følsomme oplysninger uden en persons samtykke såsom navn, adresse, telefonnummer, e-mailadresse, køn og alder, hvis personen ikke har frabedt sig reklamer i CPR-registeret, og hvis personen gives mulighed for at sige nej til videregivelsen.

Sikkerhedskrav

En virksomhed, der behandler oplysninger om fysiske personer, skal træffe de tekniske og organisatoriske foranstaltninger, der er nødvendige for at undgå, at oplysningerne fx ulovligt slettes eller ændres, kommer til uvedkommendes kendskab, misbruges eller på anden måde behandles i strid med persondataloven. Benyttede it-systemer skal være sikkerhedsmæssigt forsvarlige.

Anmeldelse og registrering

Hvis din virksomhed behandler følsomme oplysninger om en person om fx politisk overbevisning, helbredsmæssige forhold, strafbare forhold eller sociale problemer, skal virksomheden anmelde det til Datatilsynet, som herefter vurderer, om der kan gives tilladelse til behandlingen. Behandling af oplysninger om generelle, ikke følsomme forhold såsom navn, adresse, køn og alder skal ikke anmeldes til Datatilsynet.

Overholdelse

Mange virksomheder søger at overholde reglerne i persondataloven ved at have en persondatapolitik liggende på deres hjemmeside, som beskriver, hvordan virksomheden behandler oplysninger om fysiske personer. Om det er tilstrækkeligt til at overholde persondataloven afhænger af de konkrete omstændigheder. Et eksempel på en persondatapolitik findes nederst på fx Forbrugerstyrelsens hjemmeside.

---