Persondata er ifølge EU defineret som data, der kan henføres til en fysisk person. Det omtales også som personhenførbare data. Det drejer sig om data, som både direkte og indirekte kan identificere en person.
Selv i en situation, hvor data er erstattet med en anden type data, som ikke direkte identificerer personen, er der var stadig tale om persondata, hvis man kan finde tilbage til de oprindelige persondata og dermed identificere personen.
Man kan opdele persondata i tre kategorier:
- Almindelige persondata (fx navn, adresse, stilling, tlf., e-mail adresse, kundeforhold, antal sygedage, køn, medarbejder id, fødselsdato, historik over tidligere køb, job ansøgninger og CV)
- Fortrolige persondata (det kan fx være cpr-nummer, konto nr., pasnummer, økonomiske forhold, familieforhold, eksamensbeviser, lønforhold, billeder og lydoptagelser.
- Følsomme persondata (fx race, politisk overbevisning, religiøs overbevisning, medlemskab af faglige organisationer, genetiske data, helbredsoplysninger, biometriske data og seksuel orientering
Når EU’s persondataforordning træder i kraft, vil man kun skelne mellem to kategorier:
- almindelige persondata
- følsomme persondata
Fortrolige persondata vil derefter, være at betragte som almindelige persondata.
I lovgivningen stilles der krav om, at virksomheder og offentlige myndigheder skal beskytte såvel interne som eksterne personoplysninger.
Det er op til den enkelte virksomhed eller myndighed at beslutte, hvilke konkrete foranstaltninger, der skal tages i anvendelse.
Man skal dog sikre sig både teknisk og organisatorisk.
Teknisk kan man sikre sig ved at anvende forskellige typer af sikkerheds software og opbygning af en infrastruktur, som beskytter data, og sikrer mod spredning ved brud på IT-sikkerhed.
Organisatorisk sikrer man sig gennem løbende sikkerhedskurser, skriftlige procedurer ved brud på IT-sikkerheden, samt politikker for brug af password og generel adgangskontrol.
Datatilsynets anbefaling går på, at man anvender kryptering når der sendes persondata såsom persondata og password via email eller hjemmesider. Der stilles klare krav om kryptering, hvis man overfører følsomme oplysninger og/eller personnummer via en hjemmeside.
Man skal også være opmærksom på, at persondata, som vedrører medarbejdere, ikke bare uden videre kan offentliggøres på virksomhedens hjemmeside uden medarbejderens udtrykkelige accept. Virksomheden er forpligtet til at kunne dokumentere, at en sådan accept er afgivet. Dette gælder også, hvis man ønsker at offentliggøre billeder af medarbejderne på virksomhedens hjemmeside.