Bruger du offentligt tilgængelige personoplysninger i din virksomhed?
Jeg bliver tit spurgt, om personoplysninger, som en person selv har offentliggjort, f.eks. i et offentlig tilgængeligt register, er omfattet af persondataforordning.
Ja, det er de.
En del af formålet med Persondataforordningen er at give os – som fysiske (private) personer – vores magt tilbage, når det drejer sig om en virksomheds behandling af vores personoplysninger. Beskyttelse af vores personoplysninger er en rettighed, som vi har fået som virksomhederne skal respektere.
Som udgangspunkt, skal vi give en virksomhed lov til at gøre dette med mindre f.eks. en lov siger, at de må og skal behandle vores oplysninger uden vores tilladelse eller viden.
Når vi giver én virksomhed eller en offentlig myndighed lov til at offentliggøre vores oplysninger, er det ikke en blankocheck til alle andre, at de også må indsamle og behandle vores data uden et specifikt formål og retsgrundlag, og uden at gøre os opmærksom på det.
Det handler nemlig ikke kun om, at der er nogle der kender til vores personoplysninger i forvejen, men at de bruger dem – at de behandler dem.
Og det er ordet behandling der er afgørende.
Det er behandlingen af persondata, der udløser reglerne.
Så pas på.
Det kan godt være, at du som dataansvarlig virksomhed har søgt og fundet personoplysninger på f.eks. cvr. dk, i det du undersøgte de reel ejerforhold i et selskab, som du skal til at gøre forretning med. Det kan også godt være, at du (også) har kigget på Facebook eller LinkedIn efter (yderligere) oplysninger.
Hvis du vil bruge disse data, f.eks. til at lave en risikovurdering af handlen ved at undersøge den reel-ejer yderligere, skal du gøre vedkommende opmærksom på, at du har indsamlet og vil bruge vedkommendes oplysninger til at undersøge nogle nærmere forhold. Hvis du indsamler og behandler disse typer af oplysninger fordi din virksomhed har en legitime interesse der går forud for den registreredes rettigheder, frihedsrettigheder og egne interesser skal den registrerede oplyses om deres ret til at gøre indsigelse mod behandlingen.
Man har nemlig som dataansvarlig virksomhed en pligt til at oplyse en person om, at man indsamler persondata om vedkommende – også når man indsamler dem hos andre end personen selv.
Har du brug for hjælp til at finde ud af hvad du må gøre, kan du book et møde. Så tager vi en snak om det.