Guide: Foreningers behandling af personoplysninger
Justitsministeriet har udgivet en vejledning, der omhandler frivillige foreningers behandling af personoplysninger. Vejledningen besvarer en lang række ofte stillede spørgsmål, og selvom vejledningen er henvendt til frivillige foreninger, så kan mange af svarerne være nyttige at kende for alle virksomheder, der behandler personoplysninger.
Vi har udvalgt en række af de ofte stillede spørgsmål, og du kan nedenfor læse vores bemærkninger til, hvordan du som forening eller virksomhed bør forholde dig til emnerne. Vejledningen fra Justitsministeriet kan du finde her
Medlemsoplysninger og oplysninger om medarbejdere – hvad må du som forening og virksomhed egentlig bruge disse oplysninger til?
Man må kun behandle personoplysninger, hvis man har et formål hermed. Når oplysningerne indhentes fra den registrerede person, skal den dataansvarlige oplyse den registrerede person om dette formål. Herefter må oplysningerne som udgangspunkt ikke bruges til andre formål. Det er derfor vigtigt, at en forening i sin oprindelige oplysning til den registrerede person nøje overvejer, hvilke(t) formål der oplyses. Hvis foreningen på et senere tidspunkt får brug for at anvende oplysningerne til et andet formål, vil det være nødvendigt at oplyse den registrerede person på ny, såfremt den nye anvendelse ikke tydeligt fremgår af det allerede oplyste formål. På den anden side må formålet ikke være formuleret så bredt, at den registrerede person ikke kan gennemskue, hvad oplysningerne bruges til.
Videregivelse og deling af personoplysninger
En forening må gerne videregive en medlemsliste, og en virksomhed må gerne videregive en liste over medarbejdernavne og firmakontaktoplysninger i et foreningsblad på lukkede sider på internettet eller intranet. Det er dog vigtigt at have for øje, at delingen og videregivelsen skal være saglig og i overensstemmelse med formålet. Derudover skal man huske at minimere oplysningerne mest muligt, så det kun er de nødvendige oplysninger, der deles.
Det er ligeledes muligt at dele oplysninger mellem lokal- og landsforeninger samt mellem moder- og datterselskaber, hvis det er tydeligt, at delingen er i overensstemmelse med det oprindelige formål. Forinden delingen skal foreningen dog altid overveje, om den/de registrerede personer kunne have en særlig interesse i, at oplysningerne ikke deles. Det kan nemlig tale for, at foreningen ikke må videregive oplysningerne.
Personnumre
Hvis det er nødvendigt, at en forening eller en arbejdsgiver behandler sine medlemmers, medarbejderes eller kunders personnumre, er det tilladt for foreningen eller virksomheden at gøre dette. I mange tilfælde er det dog overflødigt at have et personnummer, og i så fald skal man undlade at indhente det eller slette personnummeret. En forening har typisk kun brug herfor, hvis der skal udbetales løn/honorar - og i den forbindelse fratrækkes A-skat - til en medarbejder.
Frivilliges behandling af personoplysninger
En forening eller en virksomhed kan have frivillige personer tilknyttet deres organisation. Hvorvidt behandlingen af personoplysninger i forbindelse med det frivillige arbejde er omfattet af persondatareglerne eller ej, er en konkret vurdering. Persondatareglerne gælder ikke, når behandling foretages som rent personlige eller familiemæssige aktiviteter. Dette kan nogle gange også omfatte korrespondance og føring af kontaktoplysningsfortegnelse i f.eks. sociale netværksaktiviteter. Hvis en forening eksempelvis iværksætter kontakt mellem medlemmer og frivillige, vil denne kontakt og korrespondance ikke være omfattet af reglerne, hvis foreningen ikke giver nogen instruks til, hvordan den frivillige skal håndtere behandling af medlemmets personoplysninger. Hvis foreningen udstikker instruks til den frivillige, hvor den frivillige skal melde tilbage om personlige forhold om medlemmet, vil den frivilliges behandling af medlemmets personoplysninger blive omfattet af reglerne.
Fornøden sikkerhed
Persondataforordningen kræver, at man som dataansvarlig iværksætter de fornødne sikkerhedsforanstaltninger for på den måde at sikre, at man passer godt nok på den registreredes personoplysninger. Det kan dog være svært at vurdere, hvornår ens sikkerhedsforanstaltninger er gode nok. Persondatareglerne giver ikke et generelt svar herpå. Som dataansvarlig skal man vurdere, hvilke former for risici der er forbundet med ens behandling af personoplysninger og fastlægge sikkerhedsniveauet herefter. Man skal f.eks. vurdere, i hvilken grad oplysningerne er følsomme eller fortrolige, og hvad der kan ske, hvis personoplysningerne kommer i de forkertes hænder eller mistes helt.
Derudover er det vigtigt at huske på, at sikkerhedsforanstaltninger både er tekniske foranstaltninger som f.eks. antivirus og retningslinjer for adgangskoder, men også organisatoriske foranstaltninger som f.eks. awareness træning, begrænsning af gruppers adgang til personoplysninger og udarbejdelse af en it-sikkerhedspolitik.
Ovenstående er nogle af de emner, Justitsministeriets vejledning adresserer. Du er altid velkommen til at kontakte os, hvis du har spørgsmål til, hvordan din forening eller virksomhed skal forholde sig til behandling af personoplysninger.
