Kom godt i gang med at håndtere persondata forsvarligt

Julie Hjerl Hansen | 30. maj 2017 kl. 15:30 | Print

INDLEDENDE ØVELSER: Lever din organisation op til lovgivningen for håndtering af persondata? 25. maj 2018 gælder nye regler, og der venter store bøder, hvis ikke de bliver overholdt. Her kan du læse, hvordan du allerede nu bør gå i gang med at forberede dig.

(OBS: Det er mere end et år siden, denne artikel er blevet redigeret. Vær derfor opmærksom på, at dele af indholdet kan være forældet)

Har din organisation fuldstændig tjek på, hvilke personoplysninger I indsamler, hvordan I opbevarer dem, og om I videregiver dem? Eller har I eksempelvis flere år gamle ringbind med personoplysninger stående på hylderne, og har I aldrig lige fået lavet en politik for, hvornår I sletter mails og andre elektroniske såvel som ikke-elektroniske filer, der indeholder persondata?

Når den nye persondataforordning træder i kraft den 25. maj 2018, vanker der store bøder, hvis ikke organisationer overholder de nye regler. Helt op til 20 millioner euro eller fire procent af organisationens globale omsætning risikerer man at skulle aflevere i bødepenge. Derudover er der risiko for at havne i en decideret shitstorm, hvis ikke ens organisation eller forening på forsvarlig vis beskytter personfølsomme oplysninger og lever op til lovgivningen.

Organisationer skal bevise, at de lever op til loven
“Hvis man allerede har fuldstændigt styr på den eksisterende lovgivning, så er det en forholdsvis lille opgave, der venter. Men erfaringen viser, at det nok er de færreste organisationer og foreninger, der har det,” siger sekretariatschef i indsamlingsorganisationernes brancheorganisation, Isobro, Mette Grovermann.

Den største forandring i forhold til gældende lovgivning er, at organisationerne med den nye forordning fra maj næste år selv har ansvaret for at bevise, at de lever op til kravene i forordningen. Der er derfor god grund til allerede nu at komme i sving med de indledende øvelser. Her får du en række råd til, hvordan du kommer godt i gang med forberedelserne.

Regler for indhentning af samtykke

Samtykke skal være:

Frivilligt – samtykket skal være uden tvang og baseret på et reelt og frit valg. Desuden kan en tydelig skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykket ikke betragtes som frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed. Samtykke opfattes heller ikke som frivilligt, hvis afgivelsen af samtykket stilles som en betingelse for, at en kontrakt kan opfyldes eller for at en bestemt tjeneste vil blive ydet.
Specifikt – det skal tydeligt fremgå, hvilke oplysninger der gives samtykke til at dele, og til hvad personoplysningerne skal anvendes.
Informeret – den registrerede skal have informationer om, hvem der behandler oplysningerne, og hvordan de vil blive anvendt.
Utvetydigt – der må ikke være tvivl om, hvorvidt der er givet samtykke, eller om omfanget af et samtykke.

Samtykket må desuden ikke være stiltiende eller indirekte. Der er ikke krav om, at samtykket er skriftligt, men den dataansvarlige har bevisbyrden i forhold til om samtykket er blevet indhentet på en korrekt måde, og derfor er det en god idé at indhente samtykket skriftligt.Den registrerede kan til enhver tid trække sit samtykke tilbage, og databehandleren skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke.

Ny dansk lovgivning på plads i efteråret 2017
Den nye persondataforordning, som blev vedtaget i EU i april 2016, erstatter en mere end 20 år gammel EU-lov om behandling af personoplysninger, som på grund af den teknologiske udvikling er forældet på en række punkter. Med den nye forordning bliver enkeltindividers ret til databeskyttelse styrket, og det stiller nye krav til foreninger og organisationer.

Onsdag den 24. maj 2017 udsendte Justitsministeriet en betænkning, som beskriver, hvordan EU-forordningen skal forstås i Danmark, og som kommer til at danne grundlag for det videre arbejde med at udforme et dansk lovforslag, der forventes at blive fremsat i Folketinget i efteråret 2017.

Du kan læse hele justitsministeriets betænkning om, hvordan EU-forordningen skal forstås i en dansk kontekst her: Del 1, bind 1, Del 1, bind 2, Del 2.

Sådan kommer du i gang
Selvom det danske lovforslag først bliver fremsat i Folketinget til efteråret, er det ifølge sekretariatschef i Isobro Mette Grovermann en god idé at gå i gang med forberedelserne allerede nu.

Her er nogle af de indledende forberedelser, som du kan begynde med. Nedenstående er ikke udtømmende, men det er en række konkrete tiltag, som det vil være fornuftigt at starte med.

1) Kortlæg hvor persondata bevæger sig hen i organisationen
Første skridt er systematisk at kortlægge, hvordan og hvornår organisationen indsamler persondata fra eksempelvis medlemmer, og hvor persondata bevæger sig hen inde i organisationen. Hvem i organisationen behandler persondata og til hvilket formål? Ryger data f.eks. videre til et bogholderi eller til en marketingafdeling?

At kortlægge datastrømmenes bevægelse i organisationen er det helt grundlæggende og afgørende stykke arbejde. Organisationen kan ikke leve op til kravene i persondataforordningen, hvis ikke du først har brugt tid på at få et forkromet overblik over, hvilke data du håndterer, til hvilket formål, hvor længe og på hvilket grundlag.

2) Hvilken kategori af persondata er der tale om?
Dernæst skal du have skabt overblik over, hvilke typer af persondata, organisationen indsamler, da der gælder forskellige regler for, hvordan du skal behandle hver kategori af data. Du skal derfor skelne imellem, hvornår organisationen behandler personoplysninger såsom navn, CPR-nummer, nummerplade, adresse, familiemæssige oplysninger, kreditkortnummer og mailadresse, og hvornår organisationen behandler personfølsomme oplysninger såsom etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske eller biometriske data, helbredsoplysninger og seksuel orientering.

3) Hvad er lovhjemmelen til at behandle de forskellige typer af persondata?
Hver gang organisationen behandler enten persondata eller personfølsomme oplysninger, skal du overveje, hvad lovhjemmelen er til at behandle disse data. Kræver det f.eks. samtykke, eller er medlemskabet af foreningen i sig selv at betragte som det kontraktlige grundlag. Du skal desuden overveje, om organisationen overhovedet må behandle de forskellige typer af data.

Uanset om der kan indhentes samtykke, så skal organisationen have en saglig grund til at behandle data. Der gælder således et grundlæggende princip om, at organisationerne skal minimere mængden af persondata, de behandler, så de kun behandler relevant data. En kirkelig organisation må eksempelvis ikke spørge nye medlemmer til seksuel orientering eller familiemæssige forhold, hvis der ikke er en saglig grund til det – heller ikke selvom de indhenter samtykke.

Hvis du er i tvivl, er det en god idé indledningsvis at kigge i de grundlæggende principper i EU-forordningens kapitel 2, artikel 5 (se boks) og overveje, om organisationens behandling er i overensstemmelse med EU-forordningens hensigt.

4) Få overblik over, hvilke eksterne parter organisationen deler data med
Overvej i hvilke tilfælde persondata overlades eller videregives til nogen uden for organisationen. Hver gang organisationen videregiver data, skal du have vished for, at du har kontrol med organisationens data – også efter de er overladt til andre. Hvis bogholderiet anvender et faktureringssystem som eksempelvis e-conomic, skal der laves en databehandleraftale med e-conomic om, hvordan de må behandle organisationens data, og det gælder for samtlige af de eksterne parter, som organisationen overlader data til. E-conomic eller andre eksterne parter, som du overlader persondata til, skal videregive din instruks om, hvordan persondata fra organisationen må behandles til alle deres underleverandører.

5) Opret sletteprocedurer
Næste skridt er at udarbejde procedurer for, hvornår persondata og personfølsomme oplysninger slettes igen. Det gælder både for elektroniske data og for printet data, som står rundt omkring på hylder i ringbind.

“Noget data bør smides ud efter tre år, andet efter 12 måneder. Noget tredje data skal slettes efter fem år, og noget fjerde kan man forsvare at gemme længere. Men man bør indføre retningslinjer for, hvornår man smider data ud i organisationerne, og hvornår man sletter gamle mails,” siger Mette Grovermann.

6) Tjek om du kan svare på Datatilsynets 12 spørgsmål
Nu er det blevet tid til at tjekke, om organisationen er på rette spor i forhold til behandling af persondata. For at få et pejlemærke om, hvorvidt det er tilfældet, kan du se, om organisationen kan svare på Datatilsynets 12 spørgsmål, som du finder her:

7) Udarbejd en privatlivspolitik vha. Ervhervsstyrelsens PrivacyKompasset
Dernæst er det en god idé at udarbejde en decideret privatlivspolitik for organisationen. Erhvervsstyrelsen har lavet et værktøj kaldet Privacykompasset, som kan anvendes til at udarbejde en privatlivspolitik, der er tilpasset netop din organisation. Værktøjet er lavet, så det tager højde for både de eksisterende og de kommende regler, og det er et godt sted at begynde, men der er ikke tale om en certificering. Allerede inden kortlægningen af datastrømmene i organisationen kan du med fordel forsøge at besvare spørgsmålene i PrivacyKompasset. Det giver en fornemmelse af, hvor tæt på eller langt fra målet, organisationen er. Når du har kortlagt datastrømmene og fået det store overblik, kan du besvare spørgsmålene på ny, og så skulle der gerne være sket en udvikling, så organisationen nu er tættere på at kunne generere en privatlivspolitik.

8) Indarbejd privatlivspolitikken i alle dele af organisationen
Én ting er at udarbejde en politik, men den er ikke det papir værd, den er skrevet på, hvis ikke man bruger tid på at massere den ind i hver en fiber af organisationen. Så nu skal du bruge krudt på at udbrede politikken i organisationen, så alle i organisationen forstår retningslinjerne, kan håndtere dem og handle efter dem.

9) Udpeg én, der er ansvarlig for organisationens politik for behandling af persondata
For at sikre, at lovgivningen og organisationens politik for håndtering af persondata overholdes, er det en god idé at udpege én i organisationen, som er ansvarlig for at sætte sig ind i de grundlæggende principper i persondataforordningen, og som andre i organisationen kan gå til, hvis de er i tvivl om håndtering af persondata.

10) Følg op på om politikken overholdes hvert år
Når først organisationen har udviklet en politik for behandling af persondata og implementeret den i alle lokalafdelinger og alle dele af organisationen, er det en god idé at føre ind i organisationens årshjul, at der hvert år på et bestemt tidspunkt følges op på, om retningslinjerne bliver overholdt i praksis. Når du f.eks. alligevel udarbejder blanketter til Skat, søger tipsmidler eller laver årsrapport, kan du i samme ombæring følge op på din håndtering af persondata, så du sikrer, at privatlivspolitikken er opdateret.

Følg Civilsamfundets videnscenter

Overblik: Her er efterårets politiske kalender

Sommeren lakker mod enden og efteråret lurer lige om hjørnet. Selvom Folketinget officielt holder sommerferie indtil oktober, er der en masse politik på programmet. Få overblik over den politiske kalender her.

Overblik: Her afholdes efterårets politiske landsmøder

Få overblik over, hvilke partier, der holder landsmøder i efteråret.

Her holder partierne sommergruppemøde

I løbet af sensommeren afholder Folketingets partier sommergruppemøder. Få overblik over, hvor og hvornår.

Hvilken EU-politiker skal du stemme på? Prøv Altingets kandidattest

Der er valg til Europa-Parlamentet 9. juni. Altingets kandidattest er en mulighed for at lære kandidaterne bedre at kende – og for at finde frem til dem, der deler dine holdninger om EU.

Ny kredsleder i FDF om den svære rekrutteringsopgave: "Der er lidt lige som at invitere en pige ud første gang"

Peter Salomonsen har startet en FDF-kreds op i Ørestad med hjælp fra et kredsstartsprojekt, som vender tingene lidt på hovedet og gør det nemmere at kaste sig ud i aktiviteter, uden at miste pusten over det organisatoriske.

Modstrøm: 'Her er opskriften på at engagere unge, der ikke følger den lige vej i uddannelsessystemet'

FGU-elevernes elevorganisation, Modstrøm, kæmper for at skabe et uddannelsessystem og et samfund, hvor der er plads til unge, som ikke går den lige vej. Det gør de med principper som ejerskab, indflydelse og rummelighed som rettesnor.

Nyt projekt sætter fokus på aktiviteter frem for organisationsarbejde for de frivillige

Høreforeningen, Nyreforeningen og Bedre Psykiatri har startet et fælles projekt, der skal bryde op i de faste organisationsformer. Målet er at blive mere attraktive for nye frivillige, blandt andet ved at fokusere på aktiviteter frem for foreningsdrift.

Sådan har FDF løbet 10 nye lokale kredse i gang

FDF’s kredsstartsprojekt har vendt tingene om, så initiativtagerne kan starte med at fokusere på aktiviteterne og gemme bureaukratiet til senere. Forbundet står klar med både sparring, administrativ bistand og startøkonomi. Indsatsen har på to år givet 10 nye kredse – men det har kostet både kræfter og penge.

Hvem kæmper for din lokalforenings sag i kommunen?

De kommunale budgetforlig for 2024 falder i hak på stribe i disse uger. Det giver nogle steder flere penge til lokaler, aktiviteter og udvikling i foreningslivet, mens andre kommuner strammer livremmen. Men hvem er foreningernes ”fagforening” og hvordan tager din forening kampen op mod uretfærdigheder?

Selvom regeringen kan vedtage finansloven alene, er oppositionen stadig interessant for ngo-lobbyister

Hvordan skal man arbejde med politisk interessevaretagelse, når regeringen allerede har flertal for sit finanslovsudspil? Hvad har ændret sig, og hvad er stadig ved det gamle? Det har Altinget spurgt en stribe eksperter og aktører om.

5 A'er: Ny bog er et skatkammer af viden om dansk udlændingepolitik

'Paradigmeskiftets konsekvenser' er interessant, velskrevet og velorganiseret. Den fortjener en central plads i debatten om den danske udlændingepolitik, skriver Andreas Kamm.

Er der også ballade i din kolonihave - eller i din lokalforening?

TV2-serien ”Balladen om kolonihaven” demonstrerer elegant, hvad der udspiller sig i de små forpligtende foreningsfællesskaber, som Danmark er opbygget af. Foreningsliv bygger i høj grad på mennesker med engagement, passion, fagligheder og følelser. Det foregår i vores dyrebare fritid, og derfor går bølgerne ofte højt, for der kan være meget på spil.

Ung, ny og NGO-leder: 'Ny bog giver hjælp og råd'

Når man lander sit første lederjob i en NGO, måske i en ung alder, følger der mange opgaver med, som ikke stod i jobopslaget. Det tager bogen 'Sagens Kerne' fat på med råd fra to, som har prøvet turen på egen krop. De rammer helt plet, lyder det fra en, der netop står i situationen.

Ngo’er kan også høste store fordele af kunstig intelligens

ChatGPT og andre kunstig intelligens-redskaber bliver hele tiden både nemmere, bedre og billigere, så det er ikke bare forbeholdt de store organisationer. Til gengæld er der både praktiske og etiske faldgruber, man skal holde sig for øje, siger konsulent i branchen Christian Sophus Ehlers. Han har for længst selv taget den nye teknologi i brug.

Kom ud af klubhuset og ind i kampen: Få lokalforeningens ønsker med i det kommunale budget

I denne tid er der gang i budgetforhandlingerne i alle landets kommuner. Så hvis du har et ønske om at få flere penge til at udvikle og drive netop din lokalforenings aktiviteter i 2024 og frem – så er det på høje tid at komme ind i kampen.

Håbløshed og vrede driver klimaaktivisterne

Det er vrede og frustration over alt for lidt handling i klimakrisen, der driver aktivisterne i Den Grønne Ungdomsbevægelse. Men et spændende miljø med kreative arbejdsformer og en flad struktur skader heller ikke.

Vildt sommervejr og klimakrise puster til engagement i organisationerne

Skovbrande på Rhodos, varmerekorder i Sydeuropa og et knastørt dansk forår. Klimakrisen har erobret dagsordenen, både i medierne og hos en række organisationer. Flere af dem, som har sat klima højt på dagsordenen, beretter om flere aktivister, men også om et emne, som påvirker organisationernes ståsted og måde at virke på.

Betændt arbejdsmiljø er det beskidte vasketøj, som ingen civilsamfundsorganisationer ønsker at hænge offentligt til tørre

Der er mange grunde til, at emnet er svært at tale om: Blandt andet frygt for dårlig medieomtale eller at blive fyret. Men tavshed gør samtidig problemet svært at løse. Det kom frem, da centrale civilsamfundsaktører på Bornholm debatterede dårligt arbejdsmiljø – et emne som desværre forbliver lige så hot som den danske sommer indtil nu, også selvom Folkemødet er slut for i år.

Portaler på Altinget

Adresse

Ansv. chefredaktør

Administrerende direktør

Udgiver

Kom godt i gang med at håndtere persondata forsvarligt

Tjekliste: Har I husket den gode GDPR-hygiejne?

Gratis værktøjer hjælper jer med at teste, hvad I mangler for at overholde GDPR

Q&A: Få svar på fem spørgsmål, foreninger ofte stiller om GDPR

Kom godt i gang med at håndtere persondata forsvarligt

Fakta

Fakta

Tilmeld dig gratis nyhedsbrev fra Altinget

Folkekirkens Nødhjælp om newsjacking: “Vi tjente en kvart million på curling-video”Kræver adgang til Altinget |Civilsamfund"

Tilmeld dig gratis nyhedsbrev fra Altinget: civilsamfund