Med sundfornuft kommer man lagt i arbejdet med GDPR. Denne skrivelses har til formål at gøre jer opmærksom på reglerne på området og sætte en samtale i gang om jeres arbejde med personoplysninger.

Hvad er GDPR og hvorfor er det vigtigt?

GDPR er alt det arbejde, der for arbejdet med personoplysninger, for jer oplysninger på jeres medlemmer og frivillige. Personoplysninger kan fx være optegnelser over medlemmers navn, alder, adresse, telefon nummer, kort sagt en samling af oplysninger, der gør det muligt at identificere en person. Det er vigtigt at I som forening arbejder med GDPR, da det er et lovkrav, at man skal være påpasselig med andres personoplysninger.

De to typer af personoplysninger

I GDPR arbejder man med to typer af personoplysninger: Almindelige personoplysninger og følsomme personoplysninger, som har forskellige krav til sikkerhed.

Almindelige personoplysninger er lister med navn, adresse, tlf. numre, mailadresser, fødselsdato og lignede. En tommelfingerregel er, at det er de oplysninger, man ville brug hvis man skulle sende blomster i forbindelses med en fødselsdag – bestiller du på nettet skal du angive fulde navn og evt. telefonnumre eller mail, dertil skal du kunne oplyse modtagerens adresse
og navn, samt deres alder.

Følsomme personoplysninger er oplysninger om personers helbedres oplysninger, CPR. Nr., politisk holdning, seksualitet – se den fulde liste i dataforordningens artikel 9 her. Kort sagt private oplysninger, man ikke vil give til sin blomsterhandler og som man ikke blot vil dele med fremmede.

De fleste foreninger sidder med almindelige personoplysninger, her gælder sundfornuft og tommelfingerreglen om, at man ikke deler disse med personer uden for foreningen og kun til dem, der skal bruge dem.

Sidder i foreningen med følsomme personoplysninger er der krav til, at I har nogle sikkerhedsforanstaltninger i for af aflåste skabe og sikre IT-programmer (her er opbevaring i word på en computer ikke tilstrækkeligt). Hvis I i foreningen arbejde med følsomme persondata, så er det en idé at søge hjælp hos datatilsynet eller organisationer, der ligner jeres ift. Hvad de har gjort sig af sikkerhedsforanstaltninger i håndteringen af disse data.

7 gode råd i arbejdet med GDPR

Herunder har vi samlet nogle gode råd og arbejdsgange ift. Arbejdet med personoplysninger i jeres forening.

1. Gem oplysninger flere steder, så er risiko for at data forsvinder mindre
   De lister i har med medlemsoplysninger eller frivillige ville det være smart at gemme flere steder, så man både at have et online dokument (evt. gemt i en sky som onedrive) og så i et fysisk dokument, der er placeret i et aflåst skab. På denne måde har man data flere steder, så hvis ens computer går ned, så kan man genfinde oplysningerne. Vær dog opmærksom på at OPDATERE jeres oplysninger begge steder, så når i får nye medlemmer/frivillig, så skrives der oplysninger begge steder.
   
   
2. Opbevar kun nødvendige oplysninger
   Det vil sige, at I i foreningen kun skal har oplysninger på jeres frivillige/medlemmer, som I skal bruge i jeres virke som forening. Fx vil de fleste foreninger have brug for navn, mail og telefonoplysninger på deres medlemmer til at sende information om møder o.l. men ikke alle har behov for at have adresse og fødselsdato liggende, hvis man ikke fejer alle medlemmers fødselsdag eller skal sende dem breve. Så hav kun de oplysninger i faktisk bruger og slet oplysninger, som I ikke bruger.

3. Alle har ret til at få slette og opdateret deres data
   Være opmærksom på, at alle medlemmer/frivillige, som I har oplysninger på har ret til at få slette deres oplysninger hos jer. Derfor kan det være en god ide, at I gør ny og eksisterende medlemmer/frivillige opmærksom på dette, når i får personoplysninger fra dem. Dette kan gøres fx ved at skrive det på jeres hjemmeside, hvor de kan tilmelde sig.
   
   
4. Oplysninger skal gerne være på få hænder
   Det er vigtigt, at I som forening er opmærksom på, at personoplysninger kun er tilgængelige for de frivillige/medarbejdere, der skal bruge disse og at ikke andre har adgang. Det vil sige, at hvis en frivillig skal stå for at sende nyhedsmails ud, så skal vedkommende kun have adgang til medlemmernes mail og ikke deres adresses og fødselsdag eller andre oplysninger I har liggende. Sørg derfor for, at de, der ikke har et ærinde med oplysningerne, ikke har adgang. Dette kan gøres ved at lave en kode på computeren eller filen, hvor oplysningerne ligger, som kun de, der skal bruge data, har adgang til.
   
   
5. Lav procedure for opdatering og sletning af data
   En del af arbejdet med personoplysninger er også at sørge for, at I har de rigtige oplysninger og at i får slette oplysninger på frivillige/medlemmer, der ikke længere er en del af jeres forening. Det kan derfor være en idé at lave faste opdateringsdage fx hvert kvartal eller halve år, hvor man gennemgår medlemsdatabasen o.l., så ’gamle’ medlemmer ’slettes’ og man sikre sig, at man har rigtige oplysninger på de eksisterende. Dette kan gøre ved fx at sende en mail ud til medlemmerne og bede dem om at bekræfte deres medlemskab/oplysninger eller at de gør det, ved at møde op fysisk.

6. Find en dataansvarlig i foreningen
   Som forening kan det være en god idé, at lave en ansvarspost, der hedder dataansvarlig, som er ansvarlig for dette område. Ansvar kan fx være, at give de relevante frivillig adgang til medlemsoplysninger, stå for sletteproceduren og opdatering (se punkt 5). Med en ansvarlig kan I som forening sikre, at der bliver arbejdet med dette og at I lever op til GDPR-lovgivningen. Vær opmærksom på det det vil være foreningen BESTYRELSES, der har det endelig juridiske ansvar.

7. Ring til datatilsynet, hvis I bliver i tvivl om noget – de sidder klar til at hjælpe
   I kan finde deres kontaktoplysninger på datatilsynets hjemmeside her.
   
   – for uddybning af de 7 punkter kontakt daglig leder Søren Rønn Kæmpegaard (mail )

Har i lyst til yderligere information og inspiration er et godt sted at starte i datatilsynets vejledninger, som I kan finde på Datatilsynets hjemmeside.