Nye regler for behandling af persondata

EU har vedtaget en forordning, der medfører nye og strammere regler om databeskyttelse. Hensigten er blandt andet at sikre borgernes data bedre og at ensrette håndteringen af persondata i alle medlemslandene. Fra 25. maj 2018 kan blandt andet ejendomsbesiddere og boligforeninger straffes med bøde, hvis de ikke lever op til reglerne.

 

Almindelige personoplysninger er fx:

  • identifikationsoplysninger (navn, adresse, CPR-nummer, telefonnummer, stilling, billede, mailadresse) men også mere personlige oplysninger som
  • familieforhold, bolig, bil, økonomi, løn- og skatteforhold, ansøgning og CV, eksamensresultater og antal sygedage.

Følsomme personoplysninger, som man under ingen omstændigheder må opbevare, er oplysninger om:

  • race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold,
  • genetiske data, biometriske data til identificering af den registrerede person, helbredsoplysninger og seksuelle forhold eller oplysninger om seksuel orientering.

 

Hvad er personoplysninger?

Persondata – eller personoplysninger – er enhver form for information om en identificeret eller identificerbar fysisk person eller enkeltmandsvirksomhed.

Man må gerne behandle de almindelige personoplysninger, der er behov for og til det formål, de er indsamlet, for at kunne drive ejendommen. Oplysninger, der ikke er nødvendige for driften af ejendommen, må man ikke opbevare.

 

Dataansvarlig og databehandler

Forordningen om persondata indfører to nye begreber, der er relevante for samarbejdet mellem os og vores kunder.

  • Dataansvarlig: Kunden er dataansvarlig fordi, personoplysningerne behandles til brug for ejendommens drift. Den dataansvarlige afgør til hvilke formål og med hvilke hjælpemidler, data må behandles.
  • Databehandler: Administrationen er databehandler fordi, vi som administrator behandler personoplysningerne på vegne af den dataansvarlige og efter instruks fra denne.

Selv om samarbejdet er reguleret i administrationsaftalen, kan man som dataansvarlig ikke fralægge sig ansvaret for behandling af personoplysninger. Det er derfor vigtigt, at man indgår en skriftlig aftale med sine databehandlere – en såkaldt databehandleraftale.

Aftalen sikrer den dataansvarlige (kunden) at databehandleren (her administrationen) bliver forpligtet til at overholde reglerne om behandling af personoplysninger.

 

CEJ har styr på data

CEJ har igangsat en række initiativer, der skal sikre, at vi behandler personoplysninger som beskrevet i forordningen. Blandt andet uddanner vi medarbejdere i reglerne, og vi tilpasser og beskriver vores processer og forretningsgange. Samtidigt digitaliserer vi vores fysiske arkiver, så vi får bedst muligt overblik over alle data.

De digitale arkiver bliver behandlet sikkert og efter gældende regler. Det dokumenterer vi ved vores It-revisionserklæring, der udarbejdes i samarbejde med vores statsautoriserede revisor.

 

Principper for behandling af personoplysninger

Når man behandler personoplysninger, skal man overholde en række grundlæggende principper. Overordnet set handler principperne om, at man skal behandle personoplysninger ansvarligt og med omhu:

 

Lovlighed, rimelighed og gennemsigtighed
Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede person.

Formålsbegrænsning
Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

Dataminimering og proportionalitet
Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Data skal være rigtige
Personoplysninger skal være korrekte og ajourførte.

Opbevaringsbegrænsning
Personoplysninger skal slettes eller anonymiseres, når der ikke længere er behov for at behandle dem.

Fortrolighed
Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for, at oplysningerne ikke kommer i de forkerte hænder, behandles ulovligt, går tabt tilintetgøres eller beskadiges.

Ansvarlighed
Kunden er dataansvarlig for personoplysninger, der behandles til brug for ejendommens drift. CEJ er databehandler, fordi CEJ som administrator behandler personoplysningerne på vegne af kunden.

Den dataansvarlige har ansvaret for og skal kunne påvise, at forordningens grundprincipper overholdes. Der skal oprettes en databehandleraftale mellem kunden og CEJ. Heraf fremgår det, at CEJ indestår for, at CEJ overholder forordningens grundprincipper på vegne af kunden.

Hvis man som ejendomsbesidder eller medlem af bestyrelsen i en boligforening også selv håndterer og opbevarer personoplysninger på computere, i arkiver på ejendommen eller online mv., skal man blandt andet sørge for også at behandle disse oplysninger efter de nye regler.

 

Mere information

Læs mere hos fx Datatilsynet her og Dansk Industri her.