Persondataforordningen

Denne side er en samling af definitioner, retningslinjer og gode råd angående den kommende persondataforordning. Siden vil løbende blive opdateret i takt med at Datatilsynet frigiver deres vejledninger.

Indholdsfortegnelse

Definitioner

Retningslinjer

IT-sikkerhed

Yderligere læsning

Introduktion til Persondataforordningen

EU har vedtaget en ny forordning (Persondataforordningen) der træder i kraft pr. 25 maj 2018. Forordningen kommer også til at gælde for Danmark og vil her være benævnt som Databeskyttelsesforordningen. Den fastsætter regler omkring behandling af personoplysninger om borgere i EU. Derudover giver den de personer der behandles data omkring, nogle grundlæggende rettigheder.

Mange af reglerne i den kommende forordning er allerede gældende i dag i den danske persondatalov, men da der fremadrettet bliver fastsat muligheden for at give høje bødestraffe (op til 4% af virksomhedens omsætning eller 20 mio. euro), er incitamentet til at efterleve reglerne også steget.

Principper for behandling af personoplysninger

Der gælder nogle grundlæggende principper der skal overholdes når personoplysninger behandles.

Lovlighed rimelighed og gennemsigtighed

Hvis I håndterer personoplysninger der ikke fremgår af privatlivspolitikken, skal I finde ud af til hvilke formål oplysningerne bruges til.

Formålsbegrænsning

Formålene i foregående punkt skal være specifikke og saglige. Dette vil kræve en konkret vurdering, men man kan stille sig spørgsmål som: Har vi brug for denne oplysning for at udføre opgaven? og: Hvorfor indsamlede vi oplysningerne til at starte med?

Dataminimering

I forlængelse af ovenstående: Hvis de personoplysninger man har, ikke længere bruges til at løse en specifik opgave, skal de slettes. Et eksempel kan være at man får at vide at en frivillig ikke kan deltage i et arrangement fordi personen har fået influenza. Hvis oplysningen kun skal benyttes til at finde en afløser, er den ikke længere relevant når afløseren er fundet. Her er det principielt set heller ikke nødvendigt at vide præcist hvilken sygdom den frivillige fejler. Det kan selvfølgelig ikke undgås at den frivillige selv giver oplysningen, men her er det så vigtigt at slette oplysningen, når den ikke er nødvendig længere.

Rigtighed

Hvis et medlem eller en frivillig tager kontakt til en lokalforening og beder om at få rettet oplysninger som adresse eller telefonnummer er vi forpligtede til at få dem rettet. Dette gælder selvfølgelig kun for de oplysninger som lokalforeningerne har adgang til. Hvis det er en oplysning der ikke kan rettes af lokalforeningen, kan der tages kontakt til landskontoret.

Opbevaringsbegrænsning

Når personoplysninger ikke længere er nødvendige, skal de slettes eller anonymiseres. Anonymisering består i at det ikke for nogen er muligt at spore en information tilbage til eksempelvis et specifikt medlem eller en frivillig. Et eksempel kan være at man vil føre statistik med hvor mange personer der deltog i et givent arrangement fra en bestemt landsdel. Her er det kun nødvendigt at have informationer om antal pr. landsdel og navne og adresser er således overflødige. Hvor lang tid en given oplysning skal gemmes, er meget individuelt. Andre love som bogføringsloven sætter et minimum for opbevaring af bogførings- og regnskabsmateriale på 5 år. Disse opbevaringsgrænser overtrumfer altså de kommende regler i persondataforordningen og skal bruges som udgangspunkt.

Integritet og fortrolighed

KFUM og KFUK som helhed har et ansvar for at informationer ikke kan tilgås af de forkerte. Landskontoret kan vælge et medlemssystem med tekniske foranstaltninger der sikrer informationer, men det er den enkeltes ansvar at eksempelvis kodeord ikke udleveres til andre, eller personoplysninger ikke deles med de forkerte.

Rettigheder

Personen der indsamles oplysninger omkring (den registrerede) har en række rettigheder som skal overholdes.

Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt)

  • Betyder at det skal gøres klart at personoplysninger bliver behandlet og til hvilket formål. Denne information skal præsenteres på det tidspunkt hvor oplysningerne indsamles.

Retten til at få indsigt i sine personoplysninger (indsigtsret)

  • At en person (eks. et medlem) kan få at vide hvilke oplysninger KFUM og KFUK har om personen.

Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse)

  • Vi er forpligtede til at rette informationer når vi bliver opmærksomme på at de ikke er korrekte.

Retten til at få sine personoplysninger slettet (retten til at blive glemt)

  • Betyder at en person (eks. et medlem) har ret til at få sine oplysninger slettet. Dette gælder dog kun hvis man ikke hvis man er nødsaget til at gemme oplysninger til andre hensyn. Det kan eksempelvis være indberetning til skat, eller fordi det er en del af en aftale.

Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring

  • Det skal være muligt at sige nej tak til at blive kontaktet i forbindelse med direkte markedsføring.

Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering

  • Det skal være muligt at frasige sig afgørelser der udelukkende er sket automatisk og uden menneskelig indblanding.

Retten til at flytte sine personoplysninger (dataportabilitet)

  • Vi skal stille alle de informationer vi har om et medlem til rådighed, så medlemmet har mulighed for at flytte dette til en anden organisation.

Uafklarede områder

Persondataforordningen er hovedsageligt tiltænkt private og offentlige organisationer. Der er dog i mindre grad tænkt på frivillige organisationer og deres konkrete situation. Derfor er en del områder på nuværende tidspunkt uafklarede. Brancheorganisationen ISOBRO har stillet en række spørgsmål til Justitsministeriet og Datatilsynet som skal afklares. Der forventes ikke at være svar inden 25. maj, men formentlig senest ved udgangen af 2018.

  • Billeder: Hvordan håndteres billeder, der efter forordningen er personoplysninger? En række frivillige organisationer er gået sammen om at udarbejde fælles retningslinjer til håndteringen af billeder.
  • Krav om tilsyn: Hvordan opfyldes kravet om tilsyn ifm. frivillige der benytter deres eget IT-udstyr?
  • Brug af sociale medier som Facebook hvor personoplysninger florerer.

Hvilke data har I og hvordan håndteres de?

Der kan være mange forskellige måder at håndtere personoplysninger på. Derfor vil jeg gerne opfordre jer til at kontakte mig hvis I har eksempler på, hvordan I indsamler, opbevarer, og deler oplysninger. Jo flere eksempler jeg har at gå ud fra, jo mere konkret kan jeg udforme retningslinjerne. Derudover skal I indberette sikkerhedshændelser hvor der er mistanke om at personoplysninger er blevet tilgået af uvedkommende. I kan kontakte mig (Martin Wobeser) på mw@kfum-kfuk.dk.