[Opdateret d.17. oktober 2019: "Skabelon: samtykkeerklæring (billeder)"]
Persondataforordningen (GDPR)
Persondataforordningen, GDPR, erstattede 25. maj 2018 persondataloven fra 2000. Det har skærpet nogle af de pligter, der følger med, når vi og vores lokalforeninger behandler personoplysninger. Her kan du læse Missionsforbundets Børn og Unges persondatapolitik.
Denne side er tænkt som en vejledningen eller et hjælpredskab, som vores lokalforeninger kan bruge, når de skal danne et overblik over, hvilke personoplysninger foreningen behandler, hvad de skal bruges til, hvordan de behandles og på hvilket lovlige grundlag (hjemmel) de behandles. Nederst på siden besvarer vi ofte stillede spørgsmål (FAQ).
MBU's lokalforeninger kan vælge mellem to modeller:
I model 1 opbevarer man udelukkende de data som skal bruges til kontingentopkrævning og benytter MBU's medlemsystem.
I model 2 vil man indsamle, opbevare og behandle flere data end det der skal bruges til kontingentopkrævning.
TJEKLISTE
Kan I sige JA til alle eller de fleste punkter i spørgsmål "A"?
Kan I sige JA til spørgsmål "B"?
Kan I sige JA til spørgsmål "C"?
Så kan I bruge model 1!
A.
B.
C.
Kan du vælge model 1?
Ønsker I at opbevare flere oplysninger end det, der er nødvendige for kontingentopkrævning, så skal I gå direkte videre til: Model 2
Model 2
Lokalforeningen opbevarer flere data end til brug ved kontingentopkrævning:
Denne model skal benyttes, hvis lokalforeningen har brug for at opbevare flere data, end det som vedrører kontingentopkrævning. I dette tilfælde, skal lokalforeningen følge vejledningen nedenunder og påtager dermed et selvstændigt dataansvar.
Til vejledningen for model 2 er der tre skabeloner til dokumenter, som foreningen vil få brug for når de påtager et selvstændigt dataansvar.
Har du brug for at spørge os til råds, er du meget velkommen til at kontakte MBU's sekretariat.
De tre skabeloner
1. Skabelonen til "Persondatapolitik" skal være med til at opfylde oplysningspligten. I skal bruge jeres persondatapolitik til at informere om hvilke persondata i indsamler. Persondatapolitikken er et dokument (digitalt og trykt), der fortæller fx medlemmer, ansatte, frivillige og brugere om, hvordan I behandler oplysninger om dem, hvorfor I opbevarer bestemte oplysninger (fx mailadresser), hvad I bruger oplysningerne til, og hvem i foreningen de kan henvende sig til, hvis de vil have slettet deres data. Den skal være tilgængelig for de personer, I behandler oplysninger om. Derfor kan I med fordel udlevere persondatapolitikken til nye medlemmer og lægge den på foreningens hjemmeside.
2. Skabelonen til "Fortegnelse af behandlingsaktiviteter af personoplysninger" skal være med til at opfylde den dokumentationspligt, der påhviler en forening. Når I behandler personoplysninger, skal I kunne dokumentere, at I behandler dem efter reglerne i persondataforordningen. I skal derfor udarbejde en eller flere såkaldte fortegnelser, der beskriver, hvilke personoplysninger I behandler (både almindelige og følsomme), og hvordan I behandler oplysningerne. I skal også beskrive, hvorfor I behandler oplysningerne. Her skal I henvise til, hvorfor I må behandle personoplysningerne (fx interesseafvejningsreglen eller samtykke) og de grundlæggende principper for god databehandlingsskik.
Fordi vi er en organisation, der ikke arbejder med gevinst for øje, og hvis sigte er af religiøs art, kan vi lovligt behandle såkaldte følsomme oplysninger om vores medlemmer, tidligere medlemmer, frivillige og ansatte, hvis det efter vores formål er nødvendigt. jf. Databeskyttelsesforordningens artikel 9, stk. 2, d. Det er et krav, at fortegnelser er skrevet ned.
3. Skabelon til "Databehandleraftale".
I skal indgå en databehandleraftale med alle eksterne samarbejdspartnere og leverandører, der opbevarer eller behandler data (personoplysninger) for jer. Der skal ikke indgås en databehandleraftale med MBU, da alle lokalforeninger er en del af hovedforeningen MBU.
Vejledningen vil blive opdateret med nye ressourcer, og når der sker udvikling på området, f.eks. som følge af uddybende vejledninger fra Datatilsynet. Datatilsynets Vejledning til frivillige foreningers behandling af personoplysninger giver en række eksempler på typiske databehandlere:
-
En aktør, der hoster en hjemmeside på vegne af foreningen, hvoraf der fremgår personoplysninger
-
Lønadministrationsudbyder
-
Bookingløsninger
-
OneDrive
-
Dropbox
-
Google Drev
I vejledningen er der også eksempler på samarbejdspartnere og leverandører, hvor I typisk ikke skal indgå en databehandleraftale. Det er fx:
-
Videregivelse til skattemyndighederne
-
Mobilepay
-
Netbank
-
Microsoft Office-pakken på foreningens egen hardware
De to lister er ikke udtømmende for samarbejdspartnere og leverandører, som foreninger skal indgå databehandleraftaler med.
Vi har udarbejdet en forenklet version af en databehandleraftale, men I kan også benytte Datatilsynets standard skabelon. I kan finde begge i download sektionen.
Vær særligt opmærksomme på, om I bruger cloud-løsninger som Dropbox og Google Drev til at opbevare fx medlemsoplysninger. Cloud-leverandører anvender ofte standardvilkår, som ikke nødvendigvis overholder EU's persondataforordning.
I skal informere mere,
gemme mindre
og beskytte bedre.
-
Indhent ikke flere personoplysninger end nødvendigt og kun til et konkret, tydeligt formuleret, i forvejen bestemt, formål.
-
Oplyse medlemmer, ledere og ansatte om hvordan deres data behandles.
-
Gem og opbevar ikke oplysninger i længere tid end nødvendigt.
-
Beskyt de personoplysninger I behandler i foreningen.
Tjekliste for GDPR arbejdet i foreningen
Der er 5 grundlæggende spørgsmål som I bør stille når I går igang med med GDPR arbejdet. Det er bestyrelsen i foreningen, der er ansvarlige for at forordningen overholdes. I bør dog udpege en person der kan i varetage opgaven og løbende arbejde med persondataforordningen.
1. Hvordan ser det ud i dag? Skab et overblik!
Hvem samler personoplysninger og hvordan? Hvem behandler persondata fx i MBU's medlemssystem eller i et anden system? Hvilke personoplysninger behandler I? Det kan fx være medlems- eller brugeroplysninger som navn, adresse, e-mail, billede og personnummer. I hvilke andre systemer og registre behandler I disse personoplysninger og på hvilket juridisk grundlag? Hvordan afgør I hvilke oplysninger I skal indsamle? Sørg også for at få overblik over, hvordan I håndterer, opbevarer og sletter oplysninger. Brug overblikket til at lægge en plan for arbejde med at gøre jeres forening GDPR klar.
Nyttig download: "Skabelon til fortegnelser over behandlingsaktiviteter"
2. Opbevares personoplysninger sikkert?
Det er en vurderingssag, hvornår personoplysningerne er sikkert opbevaret. Vi anbefaler, at personoplysinger i fysiske dokumenter skal opbevares i et aflåst skab. Digitale dokumenter med personoplysninger skal I sikre med adgangskoder, ligesom der skal være adgangskoder på de mobile enheder, pc’er og hjemmesider, I bruger til at tilgå persondata. Det gælder også frivillige og ansattes private enheder, når de har adgang til personoplysninger. Hvis I opbevarer persondata hos cloud-tjenester (fx OneDrive/SharePoint, Dropbox og Google Drev) skal I sikre jer, at tjenesten lever op til kravene i persondataforordningen.
Når I sender mails til jeres medlemmer fx med invitation til årsmøder eller andre arrangementer, skal I bruge funktionen BCC, så den der modtager mailen ikke kan se, hvem I ellers har sendt den til.
3. Hvad må vi ikke længere behandle eller gemme?
Opbevarer I data, som I ikke længere må indsamle? Opbevarer I persondata, der ikke længere er nødvendig, forældet fejlbehæftet? Hvad skal I gemme og opbevare? Hvis der ikke længere er et lovligt grundlag for opbevaring, skal det slettes.
4. Har I beskrevet procedurer og arbejdsgange?
Beskriv og sæt mål for hvordan I vil behandle persondata ved fx instruktioner og rutinebeskrivelser. Sørg for, at alle medlemmer, ansatte, frivillige og brugere kender reglerne og jeres procedurer for, hvordan og til hvad I bruger deres personoplysninger. Det er vigtigt, at frivillige og ansatte kende reglerne godt, så de ikke uforvarende opbevarer eller deler personoplysninger i it-programmer eller cloud-løsninger (fx Dropbox), som I ikke har en databehandleraftale med, eller som ikke er beskrevet i jeres fortegnelse. I skal kunne dokumentere at frivillige med flere er gjort bekendt med reglerne, fx i jeres persondatapolitik. Download: "Skabelon til persondatapolitik".
5. Hvordan skal det gøres og af hvem?
Gennemgå systemer for at sikre, at det formål eller den politik, du skriver, følges, og det I har besluttet, gennemføres. I skal dokumentere arbejdet, så I kan vise overfor Datatilsynet, hvad I har gjort og vil gøre. Det er vigtigt at huske at også oplære ansatte, ledere og frivillige medarbejdere i, hvordan man håndterer personoplysninger.
Downloads:
Dokumenter fra Datatilsynet:
Model 1
Opbevarer kun data til kontingentopkrævning:
I denne model indgår man en aftale om fælles dataansvar med MBU, hvilket betyder at MBU sørger for det meste af den nødvendige dokumentation. Lokalforeningens GDPR proces vil i udgangspunktet betyde, at man bruger og henviser til MBU's persondatapolitik, på tryk og digitalt, og udfylder nogle få felter i to dokumenter, som man opbevarer lokalt:
1. Download og udfyld de fire grå felter i skabelonen: "Fortegnelse af behandlingsaktiviteter af personoplysninger". Send skemaet til og opbevar den som dokumentation.
2. Download og udfyld de fem grå felter og underskriv: "Aftale om fælles dataansvar". Send dokumentet til og opbevar den som dokumentation.
Har du brug for at spørge os til råds, er du meget velkommen til at kontakte MBU's sekretariat.
I kan med fordel læse afsnitet med spørgsmål og svar nederst på siden, hvis I har flere spørgsmål til GDPR.