[Opdateret d.17. oktober 2019: "Skabelon: samtykkeerklæring (billeder)"]

Persondataforordningen (GDPR)

Persondataforordningen, GDPR, erstattede 25. maj 2018 persondataloven fra 2000. Det har skærpet nogle af de pligter, der følger med, når vi og vores lokalforeninger behandler personoplysninger. Her kan du læse Missionsforbundets Børn og Unges persondatapolitik.
 

Denne side er tænkt som en vejledningen eller et hjælpredskab, som vores lokalforeninger kan bruge, når de skal danne et overblik over, hvilke personoplysninger foreningen behandler, hvad de skal bruges til, hvordan de behandles og på hvilket lovlige grundlag (hjemmel) de behandles. Nederst på siden besvarer vi ofte stillede spørgsmål (FAQ).

Vejledningen vil blive opdateret, når der sker udvikling på området, fx som følge af uddybende vejledninger fra Datatilsynet og når vi udgiver yderligere ressourcer.​

 

Til vejledningen nedenunder er der tre dokument-skabeloner, som I vil få brug for når I arbejder med GDPR.

De tre skabeloner

 

1. Skabelonen til "Persondatapolitik" skal være med til at opfylde oplysningspligten. I skal bruge jeres persondatapolitik til at informere om hvilke persondata i indsamler. Persondatapolitikken er et dokument (digitalt og trykt), der fortæller fx medlemmer, ansatte, frivillige og brugere om, hvordan I behandler oplysninger om dem, hvorfor I opbevarer bestemte oplysninger (fx mailadresser), hvad I bruger oplysningerne til, og hvem i foreningen de kan henvende sig til, hvis de vil have slettet deres data. Den skal være tilgængelig for de personer, I behandler oplysninger om. Derfor kan I med fordel udlevere persondatapolitikken til nye medlemmer og lægge den på foreningens hjemmeside.

2. Skabelonen til "Fortegnelse af behandlingsaktiviteter af personoplysninger" skal være med til at opfylde den dokumentationspligt, der påhviler en forening. Når I behandler personoplysninger, skal I kunne dokumentere, at I behandler dem efter reglerne i persondataforordningen. I skal derfor udarbejde en eller flere såkaldte fortegnelser, der beskriver, hvilke personoplysninger I behandler (både almindelige og følsomme), og hvordan I behandler oplysningerne. I skal også beskrive, hvorfor I behandler oplysningerne. Her skal I henvise til, hvorfor I må behandle personoplysningerne (fx interesseafvejningsreglen eller samtykke) og de grundlæggende principper for god databehandlingsskik.

 

Fordi vi er en organisation, der ikke arbejder med gevinst for øje, og hvis sigte er af religiøs art, kan vi lovligt behandle såkaldte følsomme oplysninger om vores medlemmer, tidligere medlemmer, frivillige og ansatte, hvis det efter vores formål er nødvendigt. jf. Databeskyttelsesforordningens artikel 9, stk. 2, d. Det er et krav, at fortegnelser er skrevet ned.

 

3. Skabelon til "Databehandleraftale".

I skal indgå en databehandleraftale med alle eksterne samarbejdspartnere og leverandører, der opbevarer eller behandler data (personoplysninger) for jer. Der skal ikke indgås en databehandleraftale med MBU, da alle lokalforeninger er en del af hovedforeningen MBU.

 

Vejledningen vil blive opdateret med nye ressourcer, og når der sker udvikling på området, f.eks. som følge af uddybende vejledninger fra Datatilsynet. Datatilsynets Vejledning til frivillige foreningers behandling af personoplysninger giver en række eksempler på typiske databehandlere:

  • En aktør, der hoster en hjemmeside på vegne af foreningen, hvoraf der fremgår personoplysninger

  • Lønadministrationsudbyder

  • Bookingløsninger

  • Office 365 / OneDrive / SharePoint

  • Dropbox

  • Google Drev

 

I vejledningen er der også eksempler på samarbejdspartnere og leverandører, hvor I typisk ikke skal indgå en databehandleraftale. Det er fx:

  • Videregivelse til skattemyndighederne

  • Mobilepay

  • Netbank

  • Microsoft Office-pakken på foreningens egen hardware

 

De to lister er ikke udtømmende for samarbejdspartnere og leverandører, som foreninger skal indgå databehandleraftaler med. 

 

Vi har udarbejdet en forenklet version af en databehandleraftale, men I kan også benytte Datatilsynets standard skabelon. I kan finde begge i download sektionen.

 

Vær særligt opmærksomme på, om I bruger cloud-løsninger som Dropbox og Google Drev til at opbevare fx medlemsoplysninger. Cloud-leverandører anvender ofte standardvilkår, som ikke nødvendigvis overholder EU's persondataforordning.

I skal informere mere,

gemme mindre

og beskytte bedre.

  • Indhent ikke flere personoplysninger end nødvendigt og kun til et konkret, tydeligt formuleret, i forvejen bestemt, formål.

  • Oplyse medlemmer, ledere og ansatte om hvordan deres data behandles.

  • Gem og opbevar ikke oplysninger i længere tid end nødvendigt.

  • Beskyt de personoplysninger I behandler i foreningen.

Tjekliste for GDPR arbejdet i foreningen

 

Der er 5 grundlæggende spørgsmål som I bør stille når I går igang med med GDPR arbejdet. Det er bestyrelsen i foreningen, der er ansvarlige for at forordningen overholdes. I bør dog udpege en person der kan i varetage opgaven og løbende arbejde med persondataforordningen.

1. Hvordan ser det ud i dag? Skab et overblik!

Hvem samler personoplysninger og hvordan? Hvem behandler persondata fx i MBU's medlemssystem eller i et anden system? Hvilke personoplysninger behandler I? Det kan fx være medlems- eller brugeroplysninger som navn, adresse, e-mail, billede og personnummer. I hvilke andre systemer og registre behandler I disse personoplysninger og på hvilket juridisk grundlag? Hvordan afgør I hvilke oplysninger I skal indsamle? Sørg også for at få overblik over, hvordan I håndterer, opbevarer og sletter oplysninger. Brug overblikket til at lægge en plan for arbejde med at gøre jeres forening GDPR klar.

Nyttig download: "Skabelon til fortegnelser over behandlingsaktiviteter"

2. Opbevares personoplysninger sikkert? 

Det er en vurderingssag, hvornår personoplysningerne er sikkert opbevaret. Vi anbefaler, at personoplysinger i fysiske dokumenter skal opbevares i et aflåst skab. Digitale dokumenter med personoplysninger skal I sikre med adgangskoder, ligesom der skal være adgangskoder på de mobile enheder, pc’er og hjemmesider, I bruger til at tilgå persondata. Det gælder også frivillige og ansattes private enheder, når de har adgang til personoplysninger. Hvis I opbevarer persondata hos cloud-tjenester (fx OneDrive/SharePoint, Dropbox og Google Drev) skal I sikre jer, at tjenesten lever op til kravene i persondataforordningen.

Når I sender mails til jeres medlemmer fx med invitation til årsmøder eller andre arrangementer, skal I bruge funktionen BCC, så den der modtager mailen ikke kan se, hvem I ellers har sendt den til.

3. Hvad må vi ikke længere behandle eller gemme?
Opbevarer I data, som I ikke længere må indsamle? Opbevarer I persondata, der ikke længere er nødvendig, forældet fejlbehæftet? Hvad skal I gemme og opbevare? Hvis der ikke længere er et lovligt grundlag for opbevaring, skal det slettes.

4. Har I beskrevet procedurer og arbejdsgange?
Beskriv og sæt mål for hvordan I vil behandle persondata ved fx instruktioner og rutinebeskrivelser. Sørg for, at alle medlemmer, ansatte, frivillige og brugere kender reglerne og jeres procedurer for, hvordan og til hvad I bruger deres personoplysninger. Det er vigtigt, at frivillige og ansatte kende reglerne godt, så de ikke uforvarende opbevarer eller deler personoplysninger i it-programmer eller cloud-løsninger (fx Dropbox), som I ikke har en databehandleraftale med, eller som ikke er beskrevet i jeres fortegnelse. I skal kunne dokumentere at frivillige med flere er gjort bekendt med reglerne, fx i jeres persondatapolitik. Download: "Skabelon til persondatapolitik".

5. Hvordan skal det gøres og af hvem?
Gennemgå systemer for at sikre, at det formål eller den politik, du skriver, følges, og det I har besluttet, gennemføres. I skal dokumentere arbejdet, så I kan vise overfor Datatilsynet, hvad I har gjort og vil gøre. Det er vigtigt at huske at også oplære ansatte, ledere og frivillige medarbejdere i, hvordan man håndterer personoplysninger.

 
 
 
 
 
 
 

Spørgsmål og svar

GDPR

Hvad er behandling af personoplysninger?

Behandling af personoplysninger og persondata er en aktivitet eller en række af aktiviteter, som involverer brug af personoplysninger. Det kan være både indsamling, registrering, opbevaring, sletning eller ændring, søgning i, sammenstilling, overladelse eller videregivelse til personer, myndigheder, selskaber mv. uden for foreningen.



Er der specielle krav til kirkelige børne- og ungdomsorganisationers behandling af personoplysninger?

Vi må behandle almindelige personoplysninger, hvis I har en lovlig grund – kaldet hjemmel - til at behandle dem. En hjemmel til at behandle personoplysninger kan fx være:

  1. At opfylde en aftale fx en kontrakt i forbindelse med et ansættelsesforhold
  2. At en person har givet sit samtykke. Se Datatilsynets vejledning om samtykke (pdf)
  3. At I er forpligtet pga. lovkrav – hvis I fx skal indberette oplysninger om en ansat medarbejder til Skat
  4. At I har en legitim interesse - fx hvis foreningen ønsker at offentliggøre situationsbilleder fra den årlige generalforsamling uden at indhente samtykke fra de deltagere, der optræder på billederne. Her vil Datatilsynet altid veje de afbilledes interesse og rettigheder op imod foreningens interesse (Interesseafvejningsreglen). Ifølge Justitsministeriets vejledning til foreninger (pdf) kan foreninger i langt de fleste tilfælde behandle almindelige personoplysninger på baggrund af interesseafvejningsreglen.
Normalt må man ikke behandle følsomme personoplysninger. I forordningen er der nævnt en række undtagelser, som gør det muligt at behandle følsomme personoplysninger, herunder religiøse. Undtagelserne gælder kun, hvis I har en lovlig grund til at behandle oplysningerne, og hvis I sørger for at overholde principperne om god databehandlingsskik. Undtagelserne er nævnt i persondataforordningens artikel 9, stk. 2.d. "Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoply­sningerne ikke videregives uden for organet uden den registreredes samtykke."
De undtagelser, som er være relevante for MBU foreninger, er:
  1. At I har fået samtykke fra den registrerede til at behandle oplysningerne til et eller flere specifikke formål.
  2. At det er nødvendigt at behandle oplysningerne for, at I kan overholde foreningens forpligtelser på det arbejds-, sundheds- og socialretlige område, fx hvis foreningen har ansatte, eller der er specifikke lovkrav eller lovlig grunde.
  3. Når behandlingen foretages af en forening eller frivillig organisation, som har et almennyttigt eller religiøst formål uden gevinst for øje. Behandlingen skal ske som en del af foreningens lovlige aktiviteter og være en naturlig følge af foreningens formål. Det er en betingelse, at behandlingen kun vedrører foreningens medlemmer, tidligere medlemmer eller personer, der pga. jeres formål er i regelmæssig kontakt med foreningen. Samtidig har foreningen en særlig forpligtelse til at sørge for, at oplysningerne ikke bliver misbrugt, f.eks. ved at sikre, at de bliver opbevaret sikkert, og det kun er udvalgte personer, der har adgang til dem. Videregivelse af følsomme personoplysninger uden for foreningen kræver samtykke fra den registrerede.
  4. At oplysningerne tydeligvis er offentliggjort af den registrerede selv.



Hvad er personoplysninger?

Personoplysninger er informationer, der kan bruges til at identificere en fysisk person fx en bruger, et medlem, en frivillig eller en ansat. Personoplysninger er fx et navn, adresse, telefonnummer, mailadresser, fødselsdato eller et billede. Det kan også være oplysninger om fx helbred, seksuelle forhold, etnisk oprindelse eller fagforeningsmæssigt tilhørsforhold. Persondataforordningen skelner mellem tre typer personoplysninger: Almindelige personoplysninger, følsomme personoplysninger og straffedomme og lovovertrædelser. Typen af personoplysninger har stor betydning for, om og hvordan I skal behandle oplysningerne. 1. Almindelige personoplysninger De personoplysninger, der ikke falder ind under kategorien ”følsomme personoplysninger”, kaldes ”almindelige personoplysninger”. Almindelige personoplysninger er fx navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger. 2. Følsomme personoplysninger Oplysninger om race eller etnisk oprindelse, politisk, religiøs, filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt genetiske og biometriske data, som behandles med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Det er kun de nævnte oplysninger, der anses for følsomme oplysninger i persondataforordningen. Det betyder, at selve medlemskabet af en forening fx med fokus på et bestemt handicap kan være en følsom personoplysning. 3. Strafbare forhold og personnummer (CPR-nummer) I må behandle oplysninger om strafbare forhold, hvis:

  • Den oplysningerne vedrører (den registrerede) har givet sit samtykke
  • Det er nødvendigt for at I kan varetage en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.
Børneattesten er et eksempel på, at I behandler oplysninger om en persons strafbare forhold. Når I indhenter børneatteser på en frivillig eller en ansat, skal I altid have hans eller hendes samtykke. Denne afgives i personens E-boks i forbindelse med indhentning af børneattesten.



Hvad er GDPR?

GDPR er den engelske forkortelse og står for, General Data Protection Regulation, og er en lovgivning, som er indført af EU. Databeskyttelse blev særlig relevant d. 25. maj 2018, da alle virksomheder fra denne dato skulle efterleve GDPR-reglerne. På dansk kaldes forordningen " Databeskyttelsesforordningen". Den kaldes også Persondatafordningen.



Hvornår har medlemsoplysninger historisk værdi?

Almindelige personoplysninger kan i udgangspunktet gemmes, når de har historisk værdi. Hvornår, samt hvilke oplysninger, der har historisk værdi, må afgøres konkret ud fra en den enkelte forenings traditioner. Her tænkes særligt på tillidshverv, ansættelser, bestemte funktioner.



Er e-mails omfattet af persondataforordningen, så alle e-mails med et medlem, leder eller ansat skal slettes ved udmeldelse eller ansættelsens ophør?

Ja. E-mails, der indeholder medlemsoplysninger, persondata, skal slettes, når der ikke længere er et formål med at have dem liggende.



Skal man have samtykke til udsendelse af nyhedsbreve?

Måske. Foreningen skal finde en grund (en hjemmel) i databeskyttelsesreglerne til behandlingen af personoplysninger, hvilket f.eks. kan være et samtykke. Grunden vil efter omstændighederne også kunne findes i interesseafvejningsreglen, hvis nyhedsbrevet udsendes i overensstemmelse med foreningens formål.



Hvem i foreningen er dataansvarlig?

Den dataansvarlige er den, som juridisk set er ansvarlig for overholdelsen af reglerne. Det er således den dataansvarlige, som f.eks. vil kunne blive pålagt en bøde. I MBU lokalforeninger vil det normalt være BUS. Det er foreningen som sådan, der er dataansvarlig for den behandling af personoplysninger, som foretages af foreningen. Det er ikke den eller de personer, som har ansvaret for databeskyttelse i foreningen, der er dataansvarlig. Foreningen kan dog med fordel vælge en person hos foreningen, der overordnet har opgaven med at holde styr på foreningens behandling af personoplysninger.



Er det MBU som hovedorganisation eller lokalforeningerne, der er dataansvarlige?

Den ”dataansvarlige” er den fysiske eller juridiske person, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysninger. For nogle MBU lokalforeninger kunne der være tale om at et fælles dataansvar mellem MBU (hovedforeningen) og lokalforeningen, da vi i fællesskab fastlægger formålene med og hjælpemidlerne (fx. Mem2Web) til behandlingen af den indsamlede data. I tilfælde af fælles dataansvar skal ansvaret for behandlingen fordeles på en gennemsigtig måde. Eksempelvis vil det skulle fastlægges, hvem der skal tage sig af anmodninger om indsigt fra registrerede personer og oplysningspligten. Se Model 1 øverst på siden. Hvis man vælger at ikke gøre brug af MBU's medlemssystem eller man vil indsamle flere oplysninger om medlemmer, ansatte, ledere og opbevare det på andre platforme end MEM2WEB, så vil det være den enkelte lokale forening, der er dataansvarlig. Lands- eller hovedforeningen vil altså være ansvarlig for sin behandling af de indsamlede personoplysninger, mens de lokale foreninger er ansvarlig for deres egen behandling.



Billeder

Er der nye regler for billeder?

JA. Efter Datatilsynets opfattelse har afgrænsningen mellem "situations- og portrætbilleder", vist sig at være uklar. (Læs nyhed her)

Datatilsynet skelner derfor ikke længere mellem situations- og portrætbilleder og hvorvidt et billede må offentliggøres på internettet – uden samtykke fra den berørte person – vil bero på en helhedsvurdering af billedet og formålet med offentliggørelsen.

Det påhviler derfor den dataansvarlige – som ved enhver behandling af personoplysninger – at vurdere, på hvilket behandlingsgrundlag et billede af en identificerbar person kan offentliggøres.

Den teknologiske og samfundsmæssige udvikling, der har været siden 2002, har endvidere medført et markant skift i anvendelsen af internettet.

Billeder af identificerbare personer offentliggøres således i dag i vidt omfang på hjemmesider og sociale medier som f.eks. Facebook og Instagram. Mange mennesker opfatter dette som værende ganske uproblematisk, så længe der er tale om, at der sker offentliggørelse af helt harmløse billeder af dem på internettet.

Læs mere i Datatilsynets tekst om offentliggørelse af billeder på internettet.

I skal som regel altid være forsigtige med at lægge billeder af frivillige, medlemmer, ledere – og særligt af børn – på nettet. Når det skal vurderes, om offentliggørelsen af et billede med børn og unge er lovlig, skal man tænke på, at børn efter databeskyttelsesretten har en særlig beskyttelse, fordi de er mindre bevidste om de risici og konsekvenser, der kan være forbundet med behandling af personoplysninger. Vi opfordrer dog vores foreninger at indhente samtykke, før man offentliggør portrætbilleder, herunder gruppebilleder, hvilket er baggrunden for den samtykkeerklæring-skabelon du kan hente fra vores gdpr side. "Samtykke billeder"



Må man dele billeder fra arrangementer o. lign. i foreningsblade eller på en lukket side på internettet?

Om billeder kan videregives uden samtykke i et foreningsblad eller på en lukket side på internettet afhænger af en konkret afvejning af formålet med videregivelsen over for den registreredes inte-resse i, at der ikke videregives oplysninger. Foreningen kan – som det er tilfældet for offentliggørelse af billeder på internettet – eksempelvis lægge vægt på, om der er tale om situationsbilleder eller portrætbilleder, samt hvor tungtvejende et formål videregivelsen af billederne har. Foreningen kan også lægge vægt på, at deling internt i foreningen normalt vil være en mindre indgribende behandling end offentliggørelse på internettet. Kilde: Justitsministeriets vejledning om frivillige foreningers behandling af personoplysninger.



Hvor lang tid må billeder være tilgængelige på eksempelvis foreningens hjemmeside?

Behandling af personoplysninger skal ske til saglige formål og må ikke finde sted i længere tid, end det er nødvendigt i forhold til de formål, som foreningen forfølger med behandlingen. I skal overveje, om grunden til at billederne er på hjemmesiden vejer tungere end den registreredes interesse i, at de ikke er på hjemmesiden. Foreninger kan i den forbindelse f.eks. overveje, hvilken interesse bl.a. foreningens medlemmer har i, at gamle billeder fortsat er tilgængelige. På den anden side kan foreningen overveje, hvilken interesse de afbildede kan have i, under hensyntagen til billedernes karakter, at billederne slettes. Hvis offentliggørelsen af et billede er baseret på et samtykke fra den registrerede person, og det trækkes tilbage i henhold til muligheden herfor, skal billedet slettes.



Offentliggørelse af billeder på internettet med samtykke

Udgangspunktet er, at det er tilladt at offentliggøre billeder på internettet, hvis du har personen/personernes samtykke. Dvs. har du samtykke, så er det uden betydning om billedet er et situationsbillede eller et portrætbillede. Hvis du har indhentet samtykke og fået lov til at tage billeder, skal du huske, at du skal kunne dokumentere samtykket. Samtykket skal også overholde de almindelige krav til et samtykke, bl.a. at det til en hver tid kan trækkes tilbage.



Hvad er et situationsbillede?

Situationsbilleder kan normalt offentliggøres uden, at dem på billedet har givet samtykke til det. Udgangspunktet er, at situationsbilleder kan offentliggøres uden samtykke med hjemmel i interesseafvejningsreglen i persondataforordningens § 6, stk 1,f. Efter Datatilsynets opfattelse har afgrænsningen mellem "situations- og portrætbilleder", vist sig at være uklar. ( Læs nyhed her) Den teknologiske og samfundsmæssige udvikling, der har været siden 2002, har endvidere medført et markant skift i anvendelsen af internettet. Billeder af identificerbare personer offentliggøres således i dag i vidt omfang på hjemmesider og sociale medier som f.eks. Facebook og Instagram. Mange mennesker opfatter dette som værende ganske uproblematisk, så længe der er tale om, at der sker offentliggørelse af helt harmløse billeder af dem på internettet. På den baggrund – og efter drøftelse i Datarådet – har Datatilsynet besluttet at ændre sin praksis. Vi anbefaler også, at I respekterer, hvis en person fortryder sit samtykke og ønsker billeder og/eller oplysninger fjernet fra hjemmeside, sociale medier mv. Datatilsynet er myndighed på området Vær opmærksom på, at reglerne for, hvornår I må behandle personoplysninger, er skønsmæssige og derfor afhængige af en konkret vurdering af den enkelte situation. Læs mere på Datatilsynets hjemmeside



Hvad er et portræt- eller gruppebillede?

Portrætbilleder er billeder, hvor formålet er at afbilde en eller flere bestemte personer, der som følge af billedets karakter er let genkendelige. Det kan f.eks. være et opstillet gruppebillede eller et holdbillede. Det kræver normalt altid samtykke at offentliggøre portrætbilleder. Efter Datatilsynets opfattelse har afgrænsningen mellem "situations- og portrætbilleder", vist sig at være uklar. Læs mere under spørgsmålet: " Er der nye regler for billeder?"



Børneattest

Er det lovligt at have børneattester liggende elektronisk i e-Boks?

Så længe de tilgodeser et behandlingsformål kan børneattester ligge i en elektronisk e-Boks. Men som for alle andre foreningsanvendte it-systemer og programmer skal der ryddes op i foreningens data.



Medlemssystem

Vi bruger et andet medlemssystem end MBU's (Mem2Web) - Hvordan påvirker det os?

Hvis foreningen bruger et system, der ikke er leveret af MBU, er I selv ansvarlige for at sikre, at persondataforordningen følges. Det betyder fx, at foreningen skal sikre, at der er et gyldigt grundlag for behandling af personoplysninger i det pågældende system, og at I har procedurer for sletning af forældede data. Du skal have dokumenteret dette. Hvis det er et system, der lagrer personoplysninger eksternt, er der også brug for en databehandleraftale med tjenesteudbyderen. Aftalen skal præcisere og regulere, hvilke oplysninger leverandøren håndterer og beskrive, hvilken type databehandling leverandøren må gøre. Gå til Model 2 her på siden for en vejledning.



 

Kontakt

MBU Sekretariat

Har du spørgsmål eller bemærkninger til denne vejledning , GDPR eller helt andrekan du kontakte vores sekretariatsleder:

SH2018-2.jpg

Simon Holtti

Sekretariatsleder

E-mail: sekretariat@mbu.dk

Telefon: 40163199