Behandling af persondata

Den 25. maj 2018 blev den tidligere persondatalov erstattet af databeskyttelsesforordningen, også populært kaldet persondataforordningen eller blot GDPR. Forordningen har til formål at beskytte alle EU‐borgeres personoplysninger og data.

Som butikbestyrelse eller bestyrelse i en brugforening, skal I leve op til de krav, der er fastsat i forordningen. Det er derfor vigtigt at I som bestyrelse har styr på hvordan i behandler personoplysninger.

På denne side vil I kunne finde informationer og gode råd, om hvordan I kan håndtere personoplysninger. Ude i menuen til højre vil I også kunne finde den fulde vejledning.

Husk at orientere jer i vejledningen og her på siden, og husk de vigtigste punkter:

  • Hold orden og ryd op
  • Vær konkret i jeres interesseafvejning
  • Hav gode specifikke samtykker
  • Husk kun at behandle de personoplysninger I må
  • Brug jeres sunde fornuft og brug foreningssekretariatet
Spørgsmål og svar
  • Hvad er personoplysninger?

    En personoplysning er enhver form for oplysning, der kan bruges til at identificere en fysisk person, f.eks. et medlem, en frivillig, en ansat mv. Det kan bl.a. være navn, adresse,
    telefonnummer, mailadresser, fødselsdato og fotos.

    Personoplysninger inddeles i to hovedgrupper:

    1. Almindelige personoplysninger. Alle former for oplysninger, der ikke er følsomme oplysninge. Sådanne oplysninger kan f.eks. være navn, adresse, mailadresse, kundeforhold mv.
    2. Følsomme oplysninger. Denne kategori omfatter strafbare forhold, cpr-nummer, og personoplysninger om f.eks. etnisk oprindelse, politisk og religiøs overbevisning, seksuelle forhold, helbredsoplysninger mv.
  • Hvad er behandling af personoplysninger?

    Behandling af personoplysninger er alle former for aktivitet, som involverer brug af
    personoplysninger. Dette kan f.eks. være indsamling, registrering, søgning og ændring af
    personoplysninger.

  • Hvornår må vi behandle personoplysninger?

    Der er forskellige krav til, hvornår I må behandle personoplysninger. Jo mere følsomme personoplysninger bliver, jo strengere er kravene for, at I må behandle personoplysninger.

    Almindelige personoplysninger

    I må som udgangspunkt gerne behandle almindelige personoplysninger, så længe I har en lovlig grund hertil. Det er f.eks. en lovlig grund, hvis det er for at opfylde en aftale/kontrakt. Derudover kan I også behandle almindelige personoplysninger, såfremt personen har givet jer samtykke. Endelig kan I også have en legitim interesse. Her skal I stille jer selv spørgsmålet, om jeres legitime interesse vejer tungere end hensynet til behandling af den pågældende persons personoplysninger. Dette kan f.eks. være navnelister til årsmøder eller generalforsamlinger.
    Her har I som bestyrelse et legitimt formål i at vide, hvem der deltager på jeres årsmøder eller generalforsamlinger.

    Følsomme oplysninger

    Ved følsomme personoplysninger er det klare udgangspunkt i forordningen, at disse ikke må behandles. Forordningen har dog også visse undtagelser til dette udgangspunkt i artikel 9, stk. 2. Den vigtigste undtagelse for jer vil være samtykke. Den bedste anbefaling er dog, at I helt afholder jer fra at behandle
    følsomme personoplysninger.

  • Hvad er en databehandleraftale?

    I enkelte tilfælde vil I som bestyrelse kunne komme ud for at anvende en ekstern databehandler. En ekstern databehandler vil være en, der behandler personoplysninger på vegne af jer.

    Benytter I jer af eksterne databehandlere, er det vigtigt, at I får lavet en databehandleraftale med disse. Disse databehandleraftaler vil oftest være standarder, og I vil kunne finde en standard skabelonaftale på datatilsynets hjemmeside.

  • Hvad er fortegnelsespligt?

    En fortegnelsespligt er en pligt til at dokumentere, at personoplysninger bliver behandlet i overensstemmelse med reglerne i persondataforordningen.

    At udarbejde en fortegnelse er ikke noget komplekst arbejde, men det skal vise, at der er styr på personoplysningerne, der behandles. I fortegnelsen er de vigtigste elementer, at det kort beskrives, hvilke personoplysninger I behandler, hvordan de behandles, hvorfor de behandles, og hvem I behandler personoplysninger om.

    Det er vigtigt, at dette bliver nedskrevet og revideret en gang imellem for eventuelle ændringer. I kan med fordel have denne fortegnelse med i jeres forretningsorden.

  • Hvad betyder den registrederes rettigheder?

    Den person, I behandler personoplysninger om, kaldes den registrerede. Denne person har i forordningen visse rettigheder. De vigtigste rettigheder, som I vil støde på, er følgende:

    • Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligten).
    • Retten til at få indsigt i sine personoplysninger (indsigtsretten).
    • Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse).
    • Retten til at få sine personoplysninger slettet (retten til at blive glemt).

    Dette betyder grundlæggende, at en person altid skal kunne få at vide, hvilke personoplysninger I behandler om vedkommende, få rettet forkert oplysninger og få slettet vedkommendes personoplysninger.

Korrekt behandling af personoplysninger kan lyde besværligt, men det behøves det slet ikke være. Nedenfor vil I kunne læse nogle gode råd og eksempler til behandling af personoplysninger.

Eksempler og gode råd
  • Typiske personoplysninger I må behandle

    På flere af de dokumenter, I opbevarer i bestyrelsen, vil der fremgå personoplysninger. Det vil i mange tilfælde sikkert være almindelige personoplysninger såsom navne.

    Disse personoplysninger kan f.eks. optræde på referater, dagsordener, deltagerliste, valgresultater mv. Alle disse typer vil I i mange tilfælde kunne behandle efter interesseafvejning og uden et samtykke fra personen. I vil kunne gemme disse personoplysninger lige så længe, de vurderes relevante eller indtil et eventuelt samtykke tilbagetrækkes.

  • Billeder

    Billeder kan overordnet kategoriseres i to kategorier, 1) situationsbilleder, og 2) portrætter.

    Situationsbilleder

    Situationsbilleder er billeder taget ud i det offentlige rum, hvor billedet forsøger at indkapsle situationen i rummet. Det kan f.eks. være et billede til et årsmøde eller generalforsamling, hvor billedet indeholder mange mennesker Hvis billedet ikke har fokus på bestemte personer og prøver at indkapsle situationen i rummet, vil det ofte være at betegne som et situationsbillede. Situationsbilleder i det offentlige rum vil normalvis ikke kræve samtykke.

    Portrætbilleder

    Portrætbilleder er billeder, der er taget af en enkelt eller enkelte personer,
    hvor disse er i fokus. Her indkapsler billedet ikke situationen i rummet,
    men i stedet de enkelte personer. Et portrætbillede vil i langt de fleste
    tilfælde kræve et samtykke fra personerne.

  • Online møderum

    Det er blevet mere udbredt med brugen af online møderum. Dette kan også være en mulighed for jer som medlemsvalgte at benytte jer af f.eks. i forbindelse med afholdelse af et bestyrelsesmøde. Hvis I skal afholde et online møde, er det dog vigtigt, at I sikrer jer, at udbyderen af tjenesten også er sikker.

  • Sociale medier

    Der ender tit personoplysninger på de sociale medier, såsom Facebook, Linkedin, mv., uden at de personer, som personoplysninger omhandler, er klar over det. Dette kan både være i form af billeder og tekst. Som udgangspunkt vil det kræve personens samtykke anvende disse personoplysninger på de sociale medier.

  • Samtykke

    For at et samtykke er gyldigt, er der nogle vigtige hovedelementer. Det er vigtigt, at samtykket er specifikt, så personen er helt klar over, til hvilket formål vedkommendes personoplysninger må anvendes og behandles.

    Derudover skal vedkommende også have mulighed for at trække sit samtykke tilbage igen. Hvis I bruger personoplysningerne til markedsføring, er det derfor også vigtigt, at samtykket omhandler markedsføring, og at en eventuel tilbagekaldelse af samtykket ikke omhandler allerede anvendt eller tryk markedsføringsmateriale.

  • Online værktøjer

    Rigtig mange bestyrelser vælger at anvende forskellige online værktøjer som f.eks. Podio, Dropbox, Google docs osv. til behandling af dokumenter som dagsorden, referater mv. Det er vigtigt, at I husker at rydde op i de forskellige dokumenter, I har liggende på disse tjenester.

    Grundlæggende må der ikke opbevares og behandles personoplysninger, der ikke længere har sin relevans. F.eks. kan en deltagerliste til et medlemsarrangement godt miste sin relevans, hvorimod et referat fra et bestyrelsesmøde ikke mister sin relevans.

  • Privatperson og virksomheder

    Det er vigtigt at huske, at der ikke er noget dataansvar for privatpersoner. Privatpersoner kan derfor godt behandle personoplysninger. Husk også, at virksomhedsoplysninger ikke er omfattet af personoplysninger. En mail fra en virksomhed, der måske vil samarbejde med jeres bestyrelse, er derfor som udgangspunkt ikke omfattet reglerne. I skal dog være opmærksomme på, at mailen godt kan indeholde personoplysninger, f.eks. hvis den indeholder en liste med navne.

  • Skriftlige og digitale dokumenter

    Det er vigtigt at huske, at reglerne for behandling af personoplysninger ikke kun gælder for digitale dokumenter såsom mails, Word‐dokumenter, mv. Reglerne gælder også for fysiske dokumenter som f.eks. udskrifter, håndskrevet referater, noter og lister, printede billeder osv. Det er derfor også vigtigt, at I holder styr på de fysiske dokumenter, I har liggende. Disse skal der ligeledes ryddes op i.

  • Opret mapper

    Noget af de vigtigste i forhold til at overholde reglerne for behandling af personoplysninger, er at have styr på de personoplysninger, man behandler. I kan derfor med fordel oprette særlige mapper i mailsystemer og arkivsystemer, hvori der ligger personoplysninger.

  • Brud på sikkerheden

    Sker dette, skal der foretages en anmeldelse til datatilsynet senest 72 timer efter, at I har opdaget bruddet på persondatasikkerheden. kan derfor med fordel få vejledning fra foreningssekretariatet, før I foretager en anmeldelse. Det er dog stadig vigtigt, at I reagerer hurtigt på bruddet med henvendelse til foreningssekretariatet.