Persondata (gdpr)
Denne side er en samling af definitioner, retningslinjer og gode råd angående persondataforordningen, også kaldet GDPR.
Introduktion til Persondataforordningen (GDPR)
EU har vedtaget persondataforordningen pr. 25 maj 2018. Forordningen gælder også for Danmark og kaldes her databeskyttelsesforordningen. Den fastsætter regler omkring behandling af personoplysninger om borgere i EU. Derudover giver den de personer der behandles data omkring, nogle grundlæggende rettigheder.
Principper for behandling af personoplysninger
Der gælder nogle grundlæggende principper, der skal overholdes, når personoplysninger behandles.
Lovlighed rimelighed og gennemsigtighed
Hvis I håndterer personoplysninger, der ikke fremgår af privatlivspolitikken, skal I finde ud af, hvilke formål oplysningerne bruges til.
Formålsbegrænsning
Formålene i foregående punkt skal være specifikke og saglige. Det vil kræve en konkret vurdering, men man kan stille sig spørgsmål som: Har vi brug for denne oplysning for at udføre opgaven? Og hvorfor indsamlede vi oplysningerne til at starte med?
Dataminimering
I forlængelse af ovenstående: Hvis de personoplysninger man har, ikke længere bruges til at løse en specifik opgave, skal de slettes. Et eksempel kan være, at man får at vide, at en frivillig ikke kan deltage i et arrangement, fordi personen har fået influenza. Hvis oplysningen kun skal benyttes til at finde en afløser, er den ikke længere relevant, når afløseren er fundet. Her er det principielt set heller ikke nødvendigt at vide, præcist hvilken sygdom den frivillige fejler. Det kan selvfølgelig ikke undgås, at den frivillige selv giver oplysningen, men her er det så vigtigt at slette oplysningen, når den ikke er nødvendig længere.
Rigtighed
Hvis et medlem eller en frivillig tager kontakt til en lokalforening og beder om at få rettet oplysninger som adresse eller telefonnummer, er vi forpligtede til at få dem rettet. Det gælder selvfølgelig kun for de oplysninger, som lokalforeningerne har adgang til. Hvis det er en oplysning, der ikke kan rettes af lokalforeningen, kan der tages kontakt til Landskontoret.
Opbevaringsbegrænsning
Når personoplysninger ikke længere er nødvendige, skal de slettes eller anonymiseres. Anonymisering består i, at det ikke for nogen er muligt at spore en information tilbage til eksempelvis et specifikt medlem eller en frivillig. Et eksempel kan være, at man vil føre statistik med, hvor mange personer der deltog i et givent arrangement fra en bestemt landsdel. Her er det kun nødvendigt at have informationer om antal pr. landsdel og navne og adresser er således overflødige. Hvor lang tid en given oplysning skal gemmes, er meget individuelt. Andre love som bogføringsloven sætter et minimum for opbevaring af bogførings- og regnskabsmateriale på 5 år. Disse opbevaringsgrænser overtrumfer altså de kommende regler i persondataforordningen og skal bruges som udgangspunkt.
Integritet og fortrolighed
KFUM og KFUK som helhed har et ansvar for, at informationer ikke kan tilgås af de forkerte. Landskontoret kan vælge et medlemssystem med tekniske foranstaltninger, der sikrer informationer, men det er den enkeltes ansvar, at eksempelvis kodeord ikke udleveres til andre, eller personoplysninger ikke deles med de forkerte.
Rettigheder
Personen, der indsamles oplysninger om (også kaldet den registrerede), har en række rettigheder, som skal overholdes.
Retten til at modtage oplysninger om behandling af sine personoplysninger (oplysningspligt)
Betyder, at det skal gøres klart, at personoplysninger bliver behandlet og til hvilket formål. Denne information skal præsenteres på det tidspunkt, hvor oplysningerne indsamles.
Retten til at få indsigt i sine personoplysninger (indsigtsret)
At en person (eks. et medlem) kan få at vide, hvilke oplysninger KFUM og KFUK har om personen.
Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse)
Vi er forpligtede til at rette informationer, når vi bliver opmærksomme på, at de ikke er korrekte.
Retten til at få sine personoplysninger slettet (retten til at blive glemt)
Betyder, at en person (eks. et medlem) har ret til at få sine oplysninger slettet. Dette gælder dog kun, hvis man ikke er nødsaget til at gemme oplysninger til andre hensyn. Det kan eksempelvis være indberetning til skat, eller fordi det er en del af en aftale.
Retten til at gøre indsigelse mod, at personoplysninger anvendes til direkte markedsføring
Det skal være muligt at sige nej tak til at blive kontaktet i forbindelse med direkte markedsføring.
Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering
Det skal være muligt at frasige sig afgørelser, der udelukkende er sket automatisk og uden menneskelig indblanding.
Retten til at flytte sine personoplysninger (dataportabilitet)
Vi skal stille alle de informationer, vi har om et medlem til rådighed, så medlemmet har mulighed for at flytte dette til en anden organisation.
Uafklarede områder
Persondataforordningen er hovedsageligt tiltænkt private og offentlige organisationer. Der er dog i mindre grad tænkt på frivillige organisationer og deres konkrete situation. Derfor er en del områder på nuværende tidspunkt uafklarede. Brancheorganisationen ISOBRO har stillet en række spørgsmål til Justitsministeriet og Datatilsynet, som skal afklares.
Krav om tilsyn: Hvordan opfyldes kravet om tilsyn ifm. frivillige, der benytter deres eget IT-udstyr?
Brug af sociale medier som Facebook, hvor personoplysninger florerer.
Hvilke data har I, og hvordan håndteres de?
Der kan være mange forskellige måder at håndtere personoplysninger på. Derfor vil jeg gerne opfordre jer til at kontakte mig, hvis I har eksempler på, hvordan I indsamler, opbevarer, og deler oplysninger. Jo flere eksempler, jeg har at gå ud fra, jo mere konkret kan jeg udforme retningslinjerne. Derudover skal I indberette sikkerhedshændelser, hvor der er mistanke om, at personoplysninger er blevet tilgået af uvedkommende. I kan kontakte mig (Martin Wobeser) på mw@kfum-kfuk.dk.