Persondata opdeles i almindelige personoplyninger og så de følsomme eller fortrolige. I dette blogindlæg vil jeg alene beskæftige mig med almindelige persondata. Hold øje med bloggen – jeg vil snart redegøre for de følsomme og fortrolige af slagsen.Datatilsynet

Hvad siger loven?

Persondataforordningens artikel 4

1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Persondatalovens §3

1) Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

Hvad betyder det på almindelig dansk?

Almindelige persondata er så almindelige oplysninger som navn, post-adresse, telefonnummer, mail-adresse, stillingsbetegnelse eller jobtitel, medlemsnr. i en forening, billeder, video-optagelser, nummerplade på bil, men også:

• Medlemsskab af klubber og foreninger
• Deltagelse på/i kurser, konferencer eller konkurrencerFamiliemæssige
• relationer,
  IP-nummer på IT-udstyr, GPS-data og-lign.Informationer om køb af eller
• interesse for specifikke produkter/ydelser
• Visse virksomhedsoplysninger (se nedenfor)

Vedrørende oplysninger om virksomheder har Justitsministeriet i sin betænkning nr. 1565 af maj beskrevet, at oplysninger om enkeltmandsvirksomheder og interessentskaber ligesom ”virksomhedsoplysninger, der kan identificere enkeltpersoner, herunder f.eks. en oplysning om, at X er direktør i virksomheden Y..” er omfattede af begrebet personoplysninger.

Lovene siger endvidere, at selv forholdsvis anonyme informationer kan blive defineret som persondata, hvis de sammen med andre informationer kan være med til at identificere et enkelt individ, også selvom det vil kræve ekspert-viden eller ekstra ulejlighed at finde og sammenkøre forskellige data.

Helt konkrete eksempler på persondata

A. Et mobile-pay-køb i en butik vil, sammenholdt med mobiltelefonnummer/bankkontonummer – eller lokaliseringsdata fra mobiltelefonen, kunne pege direkte på én enkelt person.

B. Navn på vindere af en butiks konkurrence vil, sammenholdt med butikkens kundekartotek – eller et billede af vinderne i et nyhedsbrev fra butikken, kunne identificere de enkelte personer.

C. En virksomheds modtagere af nyhedsbreve i ét kartotek vil – sammenholdt med virksomhedens kundekartotek, kunne identificere de enkelte personer.

D. Testemonials fra tilfredse kunder på en virksomheds hjemmeside vil, sammenholdt med virksomhedens kundekartotek, kunne identificere enkelte personer.

E. Stillingsbetegnelse og navn på en virksomheds personale på virksomhedens hjemmeside vil (også uden foto) sammen med virksomhedens medarbejderkartotek, kunne identificere de enkelte personer.

F. Et kartotek over medlemsnumre i en forening vil, sammen med foreningens kartotek over medlemmernes kontaktoplysninger, kunne identificere de enkelte personer.

G. En frisørs data over dagens kunder med navns nævnelse vil, sammen med frisørens kontaktoplysninger på de enkelte kunder, kunne identificere de enkelte personer.

Hvorfor er det et problem at blive identificeret?

Med udgangspunkt i ovenstående, er her nogle eksempler på konkret misbrug af persondata.
Med ekspempel A, B, C, D og E kan svindlere med disse oplysninger ved hånden kontakte den identificerede person og med troværdige informationer om køb eller butiksbesøg forsøge at franarre personen enten penge eller flere persondata til brug for yderligere svindel.

Måske endda identitetstyveri, eller ‘bare’ til at sende ulovlige spam-mails, som modtageren så skal bruge tid på at læse og slette.

E. Svindlere kan med disse oplysninger kontakte de identificerede personer og med troværdige informationer forsøge at franarre penge f.eks. CEO-fraud. CEO-fraud betyder direktørsvindel og er en praksis, som flere virksomheder i de senere år har været udsat for. Og som, viser en afgørelse fra SKAT, virksomheden end ikke kan trække fra i regnskabet, da det:

1. ikke kan betragtes som en normal driftsudgift og

2. er noget virksomheden burde have truffet forholdsregler imod.

F. og G. Her kan indbrudstyve læse dødsannoncer og deraf konkludere, hvornår en bestemt bolig vil stå tomt. Deltagelse i en forenings arrangementer, ophold i en kolonihave eller en aftale hos en frisør, tandlæge, massør … ja, fortsæt selv remsen. Alle disse kan alt for vel ligge elektronisk lagret eller nemt kunne udtrækkes fra en mailkorrespondance, vil for kriminelle kunne give samme information om, hvornår du er hjemme eller ej.

Vil du vide mere?

Som du kan læse, kan du nemt støde ind i blinde vinkler og skjulte perspektiver, når du opbevarer almindelige persondata for kunder, samarbejdespartnere og ansatte. Og her er det tvingende nødvendigt at have et godt overblik over farer og konsekvenser, så du kan sikre dine data forsvarligt og indenfor lovens rammer.

TD Consult er certificeret i Persondatasikkerhed . Vil du have detaljeret rådgivning omkring datasikkerhed, opbevaring og brud, er du altid velkomme til at kontakte TD Consult på +45 40 25 46 26 eller tove@tdconsult.dk.