Navn: Frans Skovholm Associeret Partner Leoni Advokater Advokat: (DAHL 2008/2015) (Leoni 2016) Møderet: Områder: Landsret Persondataret Erhvervsret Fritid: Formand i NUGF Viborg Tlf. 92 72 88 00 E-mail: FSK@leoniadvokater.dk
Dagens program 1. Indledning fokus på dokumentation 2. Kort overblik over de vigtigste regler, I bør kende 3. Hvad skal I gøre? 4. Nyttig viden 5. Tilbud om gruppeworkshop
1. Indledning - Fokus på dokumentation
Dokumentation
Retningslinjer
2. Kort overblik over de vigtigste regler, I bør kende
Persondataforordningen i grove træk Der skal være et sagligt formål for at behandle personoplysninger Man skal have et retligt grundlag for at behandle en personoplysning Krav om skriftlig databehandleraftale med et vist minimumsindhold med samtlige databehandlere Den registrerede har et katalog af rettigheder, som foreningen skal beskytte (oplysningspligt, indsigt og sletning) Sikkerheden skal være tilstrækkelig Væsentligt forhøjet bødeniveau
Hvad er en personoplysning? Enhver oplysning om en identificeret eller identificerbar fysisk person. Oplysninger om juridiske personer (selskaber/foreninger) er ikke omfattet. Personen skal kunne identificeres anonyme oplysninger er ikke omfattet. Eksempler: Navn, adresse, tlf., e-mail, helbred, foto på hjemmeside Ingen bagatelgrænse, selv de mest banale oplysninger er omfattet. Også selvom man kan google sig frem til oplysningen. Der er også personoplysninger i b2b-forhold!
Almindelige >< følsomme oplysninger >< Cpr.nr og strafbare forhold Følsomme oplysninger: Race, religion, politisk/filosofisk ståsted, fagforeningsmæssigt tilhørsforhold, helbred, biometrisk/genetisk data, seksuel orientering/seksuelle forhold Cpr.nr. og oplysninger om strafbare forhold: indhentelse af børneattest jfr. Børneattestloven Betydning: - Det er sværere at have retsgrundlag for følsomme end almindelige oplysninger - Sikkerheden skal være højere ved følsomme oplysninger
Retsgrundlag (alm. oplysninger) Man skal have et retsgrundlag for at behandle en almindelig personoplysning: - Samtykke - Opfyldelse af kontrakt - Behandling påkrævet af gældende ret (fx hvidvask) - (Beskytte vitale interesser) - (Samfundets interesse eller myndighedsopgave) - Legitim interesse, der overstiger den registreredes interesse
Retsgrundlag (følsomme, CPR og straffeoplysninger) Uddrag af retsgrundlag for følsomme oplysninger: - Samtykke, - Arbejdsretlig forpligtelse, - Fastlægge retskrav CPR-nummer: Samtykke, følger af lov eller retsgrundlag under de følsomme oplysninger. Straffeoplysninger: Samtykke, legitim interesse eller retsgrundlag under de følsomme oplysninger.
Dataansvarlig >< databehandler Ofte en meget svær vurdering, men enormt vigtigt at fastlægge. Dataansvarlig: Den der bestemmer behandlingens formål og væsentlige hjælpemidler. Databehandler: En der behandler personoplysninger på vegne af en dataansvarlig og efter dennes instruks. Har I en databehandler/dataansvarlig, skal der foreligge en skriftlig databehandleraftale. Praktisk løsning: Kontakt leverandører og samarbejdspartnere og spørg deres holdning til spørgsmålet. Typisk it-hosting, lønadministration, bogføringssoftware.
Den registreredes rettigheder Den registrerede har en række rettigheder, bla; 1. Retten til at blive glemt: Når det ikke længere er nødvendigt at opbevare en oplysning, skal den slettes. 2. Retten til oplysning: Ved indsamlingen af oplysninger, skal man oplyse om en lang række forhold, fx oplyse om rettighederne i forordningen, den dataansvarliges identitet, retsgrundlaget for behandlingen osv. 3. Retten til indsigt: Den registrerede har lov til at se, hvilke oplysninger I har om vedkommende.
3. Hvad skal I gøre? Vi gennemgår en proces, som den kunne se ud i en fortegnelse;
Der skal laves en fortegnelse (1) Få overblik over hver behandling/proces: Eksempel: Behandling af oplysninger vedr. Ledelse/bestyrelse/styregruppe Behandling af oplysninger vedr. Frivillige, medhjælpere mv. Behandling af oplysninger vedrørende medlemmer i foreningen Markedsføring, Facebook, nyhedsbreve mv.
Der skal laves en fortegnelse (2) I fortegnelsen skal der tages stilling til nedenstående forhold for hver proces: - Dataansvarlig - Formålet med behandlingen - Hvem behandler vi oplysninger om, hvilke oplysninger modtager og hvem videregiver vi eventuelt oplysningerne til - Det retlige grundlag - Hvordan de registreredes rettigheder sikres, slettepolitik, it tekniske løsninger - Om der sker tredjelandsoverførsel - Sikkerhed
Der skal laves en fortegnelse (3) Eksempel (for ledelse/bestyrelse) - Dataansvaret: - Foreningen er dataansvarlig for behandlingen. - Intra er databehandler, da personoplysningerne er opbevaret på foreningens intranet, som er udbudt af Intras ApS. (Husk databehandleraftale) - Hjemmeside udbyder er databehandler, da personoplysningerne er opbevaret på foreningens hjemmeside, som er udbudt af Hjemmeside udbyder. (Husk databehandleraftale) - Formålet med behandlingen: - Formålet med behandlingen er at varetage forhold omkring bestyrelsen, herunder bestyrelsesmøder, ledelsesforhold, trænermøder og generalforsamling - Hvem behandler vi oplysninger om: - Personoplysninger omfatter nuværende bestyrelsesmedlemmer.
Der skal laves en fortegnelse (4) Eksempel (for ledelse/bestyrelse) - forsat - Hvilke oplysninger modtager vi: - Foreningen behandler personoplysninger om bestyrelsesmedlemmet, herunder navn, adresse, telefonnummer, e-mail og udseende (billede). - Hvem videregiver vi oplysningerne til: - Vi videregiver oplysninger om navn, adresse, mail til vores fællesforbund, i det omfang det er nødvendigt. - Det retlige grundlag: - Det retlige grundlag for behandlingen er interesseafvejningsbestemmelsen efter PDF art. 6, stk. 1, litra f, da foreningens interesse i at foretage behandlingen overstiger den registreredes interesse. - På foreningens hjemmeside sker der offentliggørelse af billeder af bestyrelsesmedlemmerne og deres kontaktoplysninger. Grundlaget for denne behandling er samtykke efter PDF art. 6, stk. 1, litra a.
Der skal laves en fortegnelse (5) Eksempel (for ledelse/bestyrelse) - forsat - Hvordan sikres de registreredes rettigheder: Opbevaring: Oplysningerne ligger på foreningens egen lokale computer. Oplysningerne ligger tillige på foreningens intranet og hjemmeside. Intranettet og hjemmesiden udbydes af intra og hjemmesideudbyder ApS, der er databehandlere. Så længe vedkommende er medlem i bestyrelsen, vil foreningen beholde og behandle oplysningerne, da det er nødvendigt for administration af bestyrelsesforholdet. Når vedkommende ikke længere er medlem af bestyrelsen, slettes oplysningerne inden for 1 år efter medlemmets udtræden. - Sikkerhed - Der er en kode på foreningens computer, som kun kassereren kender, og computeren er låst inde hjemme hos kassereren, når den ikke anvendes. Alle bestyrelsesmedlemmer har personlige koder til Intras, hvor der sker logning. - Foreningen har ikke et fysisk arkiv, men opbevarer kun oplysningerne digitalt - Hvis foreningen udsættes for nedbrud (hackning, tyveri mv.) rettes der henvendelse til fællesforbundet, politiet og Datatilsynet. Herefter orienteres de registrerede.
Dokumentationskravet Udover fortegnelsen Efterlevelsen af forordningen skal kunne dokumenteres! Manglende dokumentation er selvstændigt strafbart. En række dokumenter skal derfor udfærdiges: - Sikkerhedspolitik (lav den evt. i fortegnelsen) - Retningslinjer for bestyrelse, medhjælpere og andre tilknyttede - Samtykkeerklæringer - standardiserede oplysningsdokumenter til de registrerede Dokumentationskravet gælder ALLE foreninger store som små.
Der skal laves retningslinjer Lav nogle retningslinjer, der sikrer, at reglerne bliver overholdt: - Hvor skal indkomne mails og filer gemmes henne (Må det gemmes lokalt/privat)? - Hvornår skal mails og filer slettes? - Hvor gemmer vi de indhentede samtykker? - Hvornår må man sende oplysninger ud af huset? - Sikkerhedsforanstaltninger (adgangskoder, hvilke oplysninger må man kigge i, hvad gør vi ved nedbrud) - Hvornår skal fysiske dokumenter låses inde, og hvornår må de ligge på skrivebordet? - Hvornår skal Facebookopslag slettes?
Selve implementeringen Skab sikkerhed for at alle medhjælpere kender retningslinjerne Fordel ansvaret, så alle opgaver i retningslinjerne rent faktisk bliver udført Hold evt. møde, hvor retningslinjerne bliver forklaret Gå dokumentationen igennem mindst én gang om året og ved større ændringer af arbejdsgangen/forretningsområdet - Bliver retningslinjerne rent faktisk efterlevet? kontrol ordning
Sikkerhed Sikkerheden skal være i orden under hensyntagen til det aktuelle tekniske niveau, omkostninger mv. målt over for risikoen for misbrug af oplysningerne. Følsomme oplysninger og CPR-nummeret skal beskyttes særligt godt nogle gange krav om kryptering. 12 minimumskrav ved følsomme oplysninger i personaleforhold: https://www.datatilsynet.dk/blanketter/privatsektor/personaleadministration/krav-om-datasikkerhed-iforbindelse-personaleadministration/
4. Nyttig viden Link: https://www.dgi.dk/foreningsledelse/administration-i-foreningen/bestyrelsens-ansvar-og-pligter/vejledning-til-idraesforeninger-om-persondataoplysninger
4. Nyttig viden Link: https://www.dbu.dk/temaer/fodboldpas_og_persondata/persondatalov
4. Nyttig viden Link: https://www.epaper.dk/jtoas/firmaidraet/58/
4. Nyttig viden Hvis man ikke har adgang til fælles server, er der online intranet løsninger. Eksempelvis Intras link: www.intras.dk
Følg vores nyhedsbrev om persondata https://www.leoniadvokater.dk/erhverv/persondataret.aspx
5. Tilbud om gruppeworkshop (1) Formålet med workshoppen er, at foreningerne får styr på deres dokumentation, og at de samtidig bliver opmærksomme på, hvor de skal have fokus fremadrettet i forhold til at overholde forordningen. Forløbet strækker sig over to aftener. Selve udarbejdelsen af dokumentationen sker i programmet GDPR-Portal, udbudt af Persondatasupport. I samarbejde med Persondatasupport kan vi tilbyde, at foreninger kan deltage for kr. 7.000 + moms (hvor der kan deltage 2 personer fra hver forening). Udover at modtage viden, hjælp og vejledning under workshoppen, får foreningerne adgang til et års abonnement af GDPR Portalen.
5. Gruppeworkshop (2) Program: Velkomst + Præsentation Hvad skal vi igennem i dag Lyn GDPR-guide Formål Principper databehandler konstruktion lovligt grundlag Inspiration til kortlægning Hvad er en arbejdsproces? Opgave brainstorming om arbejdsproces (udlevering af inspirationsark) Fælles gennemgang af en arbejdsproces (f.eks. håndtering af medlemmer) Hvor specifikt skal det være
5. Gruppeworkshop (3) Program forsat: Kortlægningen Workshop Introduktion + udarbejdelse af juridisk dokumentation 2 timer Samtykke til nyhedsbrev Oplysningspligt kunder, evt. i form af privatlivs- og cookie politik Samtykke og oplysningspligt medarbejdere Persondatapolitik (bl.a. hvordan imødekommer vi de reg. rettigheder + anmeldelse af brud) Databehandleraftale Hvad så nu? Vedligeholdelse og implementering Spørgsmål Hvad skal I gøre når I kommer hjem (ark) Tak for i dag
Spørgsmål?