Myter om GDPR: Er det slut med fødselsdagslisten på kontoret?

Må jeg sende deltagerlister ud? Er det forbudt at holde lister over fødselsdage på kontoret? Og skal jeg oplyse mine venner om, at jeg har gemt deres fødselsdag på mobilen?

Her er nogle eksempler fra Datatilsynet:

Madallergier og religiøse hensyn

Det kan virke som en god ide en gang for alle at registrere, hvilke medarbejdere der har fødevareallergier eller af religiøse eller filosofiske hensyn ikke ønsker at spise bestemte madvarer - så du fremover kan tage hensyn uden at skulle spørge dem igen til hver firmafest.

Begge dele er dog eksempler på følsomme personoplysninger, og derfor er det en rigtig dårlig ide i forhold til GDPR. I stedet kan du spørge mere generelt, om der er noget folk ikke spiser - så deres svar lige så vel kan dække over kræsenhed som over tro eller helbred.

Deltagerlister

Mange tror, man ikke længere kan sende deltagerlister ud til deltagere på kurser eller seminarer.

Som udgangspunkt kan du dog sagtens udlevere en deltagerliste, så længe du har husket din oplysningspligt og fortalt deltagerne ved deres tilmelding, at du vil dele deres oplysninger med de andre deltagere, så de kan sige fra, hvis de ikke ønsker at optræde på en sådan liste.

Venners oplysninger på mobilen

Et typisk spørgsmål, datatilsynet får, omhandler de data, du har på din mobil omkring dine venner - deres telefonnumre, fødselsdatoer etc. Betyder det, at du pludselig behandler deres personoplysninger og skal oplyse dem om det?

Nej, er det korte svar fra Datatilsynet - GDPR gør sig nemlig ikke gældende i rent private sammenhænge.

Datatilsynet giver kun bøder, hvis de har været på besøg

Fysiske besøg er kun en af de måder, Datatilsynet håndhæver GDPR. En klage til Datatilsynet eller et brud på persondatasikkerheden kan også udløse en sanktion.

Denne kan være i form af et forbud, et påbud eller en indstilling til bøde - og så kan du faktisk blive straffet med fængsel i indtil 6 måneder, hvis du overtræder visse af databeskyttelsesreglerne.

I øvrigt er det ikke Datatilsynet, der selv udstøder bøderne herhjemme. Hvis de vurderer, at en bøde er en passende sanktion for en ovetrædelse af GDPR, laver Datatilsynet en politianmeldelse og en indstilling til bøde. Herefter er det politiet, der går videre med sagen, som typisk afgøres ved en domstol.