2942 1922 / 2916 1921
frivilligvaerket@frivilligvaerket.dk
 
 
 
 
    

Ny persondatalov

Er din forening klar til EU’s nye persondatalov?

Persondataforordningen træder i kraft d. 25. maj 2018. Inden da skal I som foreninger have gjort jer nogle tanker om, hvordan i opbevarer og behandler personoplysninger.

Datatilsynet har lavet en pjece - læs den HER

Behandling af persondata omhandler alle de måder hvorpå I håndterer personoplysninger om medlemmer, frivillige og brugere. Det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger. Alt som er personhenførbart, er en personoplysning.

Der er forskel på type af oplysninger og behandling af disse. Des mere følsomt, des strengere er kravene til behandling. Der skildres mellem følsomme personoplysninger og almindelige personoplysninger.

Kilde: Side 7, Persondataforordningen, Datatilsynet

Hvad skal I sætte i værk?

Der skal udnævnes en dataansvarlig i foreningen.

I skal udarbejde følgende: 

  • Datafortegnelse, hvori I beskriver, hvilke persondata I opbevarer, hvordan I behandler dem, og hvorfor I opbevarer persondata. Det er et krav, at fortegnelsen er skrevet ned, men den behøver ikke være offentlig tilgængelig. CFSA henviser til Datatilsynets vejledning om fortegnelse. Se også skabeloner fra DGI og DUF, som giver et godt overblik.
  • Privatlivspolitik, som skal være tilgængelig på jeres hjemmeside. Privatlivspolitikken skal beskrive over for jeres medlemmer og brugere, hvordan I behandler personoplysninger, hvorfor I opbevarer bestemte oplysninger, og hvem medlemmer/brugere kan henvende sig til, hvis de vil have slettet deres data. Se eksempel fra Plan Danmark og DGIs skabelon.
  • Databehandleraftaler, som I skal indgå med alle samarbejdspartnere og leverandører, der opbevarer eller behandler data for jer. Datatilsynet har udarbejdet en skabelon til en databehandleraftale, men en del samarbejdspartnere vil ofte have egne skabeloner. DGI har også lavet et eksempel. Vær særligt opmærksomme på, om I bruger cloud-løsninger som Dropbox og Google Drev til at opbevare fx medlemsoplysninger. Cloud-leverandører anvender ofte standardvilkår, som ikke nødvendigvis overholder EU's persondataforordning. Kontakt Datatilsynet, hvis I er i tvivl,

Find inspiration og skabeloner til fortegnelser og privatlivspolitik her

To do!

  • Skab overblik over jeres data, dvs. personoplysninger og databehandlere
  • Nedskriv politikker for data (Fortegnelse, databehandleraftaler og privatlivspolitik)
  • Gennemfør passende sikkerhed (artikel 32)
  • Opdatere arbejdsgange


Datatilsynet arbejder på en vejledning og FAQ til foreninger

Disse 6 principper skal være opfyldt, når man behandler personoplysninger.

  1. Lovlighed, rimelighed og gennemsigtighed - Indebærer bl.a. at I giver let tilgængelig information om behandlingen af oplysninger. Den person der behandles oplysninger om skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad jeres formål med behandlingen er
  2. Formålsbegrænsning – Der skal være et formål med at behandle personoplysninger. Formålet skal være sagligt. I må derfor ikke indsamle oplysninger med formål i, at oplysningerne måske kan være til gavn senere hen
  3. Dataminimering – slet data der er forældet eller irrelevant
  4. Rigtighed – Oplysninger I behandler skal være rigtige og ajourførte, hvis oplysninger ændres, skal I slette eller opdatere dem. Fx årlig gennemgang af om oplysninger i medlemsdata er korrekt.
  5. Opbevaringsbegrænsning - Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt at have oplysningerne. Dette vurderes af dataansvarlig ud fra det formål, som oplysninger er blevet indsamlet til.
  6. Integritet og fortrolighed - Oplysningerne skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysningerne ikke går tabt eller bliver beskadiget


Samtykke

Det er et krav at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger.

Der er ingen krav til formen på samtykket, men det skal være letforståeligt og i et klart og enkelt sprog, så den registrerede er informeret og frivilligt giver samtykke.

Samtykket skal altid kunne trækkes tilbage med samme nemhed, som det er afgivet. Dette skal den registrerede informeres om ved afgivelse af samtykke.

Den registreredes rettigheder

De vigtigste rettigheder er:

  • Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt)
  • Retten til at få indsigt i sine personoplysninger (indsigtsret)
  • Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse)
  • Retten til at få sine personoplysninger slettet (retten til at blive glemt)
  • Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring
  • Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering
  • Retten til at flytte sine personoplysninger (dataportabilitet)


Billeder

Billeder er også personoplysninger

  • Situationsbilleder – kræver ikke samtykke. Hjemmel = interesseafvejningsreglen.
    • Billederne skal være harmløse.
  • Portrætbilleder
    • Kræver altid samtykke

Kilder: Center for Frivilligt Socialt Arbejde, Datatilsynet, FriSe 

Tilmeld dig vores nyhedsbrev her:

*
* Påkrævet
Websitet anvender cookies til at huske dine indstillinger, opsamle statistik og forbedre brugeroplevelsen - Klik for at acceptere og fortsætte! - Læs mere Accepter