
[Opdateret d.28. september 2020: "Fortegnelser_over_behandlingsaktiviteter" i enkel og udvidet version]
Persondataforordningen (GDPR)
Persondataforordningen (eller Databeskyttelsesforordningen), GDPR, erstattede 25. maj 2018 persondataloven fra 2000. Det har skærpet nogle af de pligter, der følger med, når man som kirke behandler personoplysninger. Her kan du læse Det Danske Missionsforbunds (DDM) persondatapolitik.
Denne side er tænkt som en vejledningen eller et hjælpredskab, for vores kirker, når de skal danne et overblik over, hvilke personoplysninger kirken behandler, hvad de skal bruges til, hvordan de behandles og på hvilket lovlige grundlag (hjemmel) de behandles. Nederst på siden besvarer vi ofte stillede spørgsmål (FAQ).
Vejledningen vil blive opdateret, når der sker udvikling på området, fx som følge af uddybende vejledninger fra Datatilsynet og når vi udgiver yderligere ressourcer.
Missionsforbundets kirker opbevarer, som regel, persondata i både digitale og fysiske arkiver, på flere forskellige digitale platforme og forskellige geografiske steder. I det en kirke som regel har brug for at opbevare mere persondata, end det som kun vedrører medlemsforhold, så vil hver enkelte kirke, som oftest have et selvstændigt dataansvar.
Til vejledningen nedenunder er der tre dokument-skabeloner, som I vil få brug for når I arbejder med GDPR.
I skal informere mere,
gemme mindre
og beskytte bedre.
-
Indhent ikke flere personoplysninger end nødvendigt og kun til et konkret, tydeligt formuleret, i forvejen bestemt, formål.
-
Oplys medlemmer, ledere og ansatte om hvordan deres data behandles.
-
Gem og opbevar ikke oplysninger i længere tid end nødvendigt.
-
Beskyt de personoplysninger I behandler i foreningen.
Tjekliste for GDPR arbejdet i kirken
Der er 5 grundlæggende spørgsmål som I bør stille når I går igang med med GDPR arbejdet. Det er menighedsrådet i kirken der er dataansvarlige og skal sikre at forordningen overholdes. I bør dog udpege en person eller et udvalg der kan i varetage opgaven og løbende arbejde med GDPR.
1. Hvordan ser det ud i dag? Skab et overblik!
Hvem samler personoplysninger og hvordan? Hvem behandler persondata fx i Collect eller i et anden system? Hvilke personoplysninger behandler I? Det kan fx være medlems- eller brugeroplysninger som navn, adresse, e-mail, billede og personnummer. I hvilke andre systemer og registre behandler I disse personoplysninger og på hvilket (hjemmel) juridisk grundlag? Hvordan afgør I hvilke oplysninger I skal indsamle? Sørg også for at få overblik over, hvordan I håndterer, opbevarer og sletter oplysninger. Brug overblikket til at lægge en plan for arbejdet med at gøre jeres forening GDPR klar.
Nyttig download: "Skabelon til fortegnelser over behandlingsaktiviteter"
2. Opbevares personoplysninger sikkert?
Det er en vurderingsag, hvornår personoplysningerne er sikkert opbevaret. Personoplysninger i fysiske dokumenter kan fx opbevares i et aflåst skab i et aflåst rum/kontor. Digitale dokumenter med personoplysninger skal I sikre med adgangskoder, ligesom der skal være adgangskoder på de mobile enheder, pc’er og hjemmesider, I bruger til at tilgå persondata. Det gælder også frivillige og ansattes private enheder, når de har adgang til personoplysninger. Hvis I opbevarer persondata hos Cloud-tjenester (fx OneDrive/SharePoint, Dropbox og Google Drev) skal I sikre jer, at tjenesten lever op til kravene i persondataforordningen.
Når I sender e-mails til jeres medlemmer fx med invitation til årsmøder eller andre arrangementer, skal I bruge funktionen BCC, så dem der modtager e-mailen ikke kan se, hvem I ellers har sendt den til.
3. Hvad må vi ikke længere behandle eller gemme?
Opbevarer I data, som I ikke længere må indsamle? Opbevarer I persondata, der ikke længere er nødvendig, forældet eller fejlbehæftet? Hvad skal I gemme og opbevare? Hvis der ikke længere er et lovligt grundlag for opbevaring, skal det slettes.
4. Har I beskrevet procedurer og arbejdsgange?
Beskriv og sæt mål for hvordan I vil behandle persondata ved fx instruktioner og rutinebeskrivelser. Sørg for, at alle medlemmer, ansatte, frivillige og brugere kender reglerne og jeres procedurer for, hvordan og til hvad I bruger deres personoplysninger. Det er vigtigt, at frivillige og ansatte kende reglerne godt, så de ikke uforvarende opbevarer eller deler personoplysninger i IT-programmer eller Cloud-løsninger (fx Dropbox, Office365), som I ikke har en databehandleraftale med, eller som ikke er beskrevet i jeres fortegnelse. I skal kunne dokumentere at frivillige med flere, er gjort bekendt med reglerne, fx i jeres persondatapolitik.
Nyttig download: "Skabelon til persondatapolitik".
5. Hvordan skal det gøres og af hvem?
Gennemgå systemer for at sikre, at det formål eller den politik, du skriver, følges, og det I har besluttet, gennemføres. I skal dokumentere arbejdet, så I kan vise overfor Datatilsynet, hvad I har gjort og vil gøre. Det er vigtigt at huske at også oplære ansatte, ledere og frivillige medarbejdere i, hvordan man håndterer personoplysninger.
Tre vigtige dokument-skabeloner
1. Skabelonen til "Persondatapolitik" skal være med til at opfylde kirkens oplysningspligt. I skal bruge jeres persondatapolitik til at informere om hvilke persondata i indsamler. Persondatapolitikken er et dokument (digitalt og trykt), der fx informerer medlemmer, ansatte, frivillige og brugere om, hvordan I behandler oplysninger om dem, hvorfor I opbevarer bestemte oplysninger (fx e-mail adresser), hvad I bruger oplysningerne til, og hvem i foreningen de kan henvende sig til, hvis de vil have slettet deres data. Den skal være tilgængelig for de personer, I behandler oplysninger om. Derfor kan I med fordel udlevere persondatapolitikken til nye medlemmer og lægge den på kirkens hjemmeside. I kan med fordel også se nærmer på Missionsforbundets persondatapolitik.
2. Skabelonen til "Fortegnelse af behandlingsaktiviteter af personoplysninger" skal være med til at opfylde den dokumentationspligt, der påhviler en kirke. Der er en enkel og en udvidet version af skabelonen. Når I behandler personoplysninger, skal I kunne dokumentere, at I behandler dem efter reglerne i persondataforordningen. I skal derfor udarbejde en eller flere såkaldte fortegnelser, der beskriver, hvilke personoplysninger I behandler (både almindelige og følsomme), og hvordan I behandler oplysningerne. I skal også beskrive, hvorfor I behandler oplysningerne. Her skal I henvise til, hvorfor I må behandle personoplysningerne (fx interesseafvejningsreglen, anden lovlig hjemmel eller samtykke) og de grundlæggende principper for god databehandlingsskik.
Fordi en kirke ikke arbejder med økonomisk gevinst for øje, og hvis sigte er af religiøs art, kan vi lovligt behandle såkaldte følsomme oplysninger om vores medlemmer, tidligere medlemmer, frivillige og ansatte, hvis det efter vores formål er nødvendigt. Jf. Databeskyttelsesforordningens artikel 9, stk. 2. d.
Det er et krav, at fortegnelser er skrevet ned.
3. Skabelon til "Databehandleraftale".
I skal indgå en databehandleraftale med alle eksterne samarbejdspartnere og leverandører, der opbevarer eller behandler data (personoplysninger) for jer. Der skal ikke indgås en databehandleraftale med DDM, da alle er en del af kirkesamfundet Det Danske Missionsforbund.
Vejledningen vil blive opdateret med nye ressourcer, og når der sker udvikling på området, fx som følge af uddybende vejledninger fra Datatilsynet. Datatilsynets Vejledning til frivillige foreningers behandling af personoplysninger giver en række eksempler på typiske databehandlere:
-
En aktør, der hoster en hjemmeside på vegne af foreningen, hvoraf der fremgår personoplysninger
-
Lønadministrationsplatform
-
Bookingløsninger
-
Office 365 / OneDrive / SharePoint
-
Dropbox
-
Google Drev
I vejledningen er der også eksempler på samarbejdspartnere og leverandører, hvor I typisk ikke skal indgå en databehandleraftale. Det er fx:
-
Videregivelse til skattemyndighederne
-
Mobilepay
-
Netbank
-
Microsoft Office-pakken på foreningens egen hardware
De to lister er ikke udtømmende for samarbejdspartnere og leverandører, som foreninger skal indgå databehandleraftaler med.
Vi har udarbejdet en forenklet version af en databehandleraftale, men I kan også benytte Datatilsynets standard skabelon. I kan finde begge i download sektionen.
Vær særligt opmærksomme på, om I bruger cloud-løsninger som Dropbox og Google Drev til at opbevare fx medlems oplysninger. Cloud-leverandører anvender ofte standardvilkår, som ikke nødvendigvis overholder EU's persondataforordning.
Udover de tre dokumentskabeloner kan du også hente en "billede samtykke-skabelon" og tre gode vejledninger fra Datatilsynet, samt databeskyttelsesforordningen på dansk
Downloads:
Dokumenter fra Datatilsynet:
Spørgsmål og svar
GDPR
Hvad er GDPR?
Hvad er personoplysninger?
-
Den oplysningerne vedrører (den registrerede) har givet sit samtykke
-
Det er nødvendigt for at I kan varetage en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Hvem er dataansvarlig?
Hvem i kirken er dataansvarlig?
Er der specielle krav til kirkers behandling af personoplysninger?
-
At opfylde en aftale fx en kontrakt i forbindelse med et ansættelsesforhold -
At en person har givet sit samtykke. Se Datatilsynets vejledning om samtykke (Artikel 6. stk. 1, a.) -
At I er forpligtet pga. lovkrav – hvis I fx skal indberette oplysninger om en ansat medarbejder til Skat (Artikel 6. stk. 1, c.) -
At I har en legitim interesse - fx hvis foreningen ønsker at offentliggøre situationsbilleder fra den årlige generalforsamling uden at indhente samtykke fra de deltagere, der optræder på billederne. Her vil Datatilsynet altid veje de afbilledes interesse og rettigheder op imod foreningens interesse (Interesseafvejningsreglen). Ifølge " Justitsministeriets vejledning til foreninger" kan foreninger i langt de fleste tilfælde behandle almindelige personoplysninger på baggrund af interesseafvejningsreglen. (Artikel 6. stk. 1, b-f.)
-
At I har fået samtykke fra den registrerede til at behandle oplysningerne til et eller flere specifikke formål. -
At det er nødvendigt at behandle oplysningerne for, at I kan overholde foreningens forpligtelser på det arbejds-, sundheds- og socialretlige område, fx hvis foreningen har ansatte, eller der er specifikke lovkrav eller lovlig grunde. -
Når behandlingen foretages af en forening eller frivillig organisation, som har et almennyttigt eller religiøst formål uden gevinst for øje. Behandlingen skal ske som en del af foreningens lovlige aktiviteter og være en naturlig følge af foreningens formål. Det er en betingelse, at behandlingen kun vedrører foreningens medlemmer, tidligere medlemmer eller personer, der pga. jeres formål er i regelmæssig kontakt med foreningen. Samtidig har foreningen en særlig forpligtelse til at sørge for, at oplysningerne ikke bliver misbrugt, f.eks. ved at sikre, at de bliver opbevaret sikkert, og det kun er udvalgte personer, der har adgang til dem. Videregivelse af følsomme personoplysninger uden for foreningen kræver samtykke fra den registrerede. -
At oplysningerne tydeligvis er offentliggjort af den registrerede selv.
Hvornår har personoplysninger historisk værdi?
Almindelige personoplysninger kan i udgangspunktet gemmes, når de har historisk værdi. Hvornår, samt hvilke oplysninger, der har historisk værdi, må afgøres konkret ud fra en den enkelte kirkes traditioner. Her tænkes særligt på tillidshverv, ansættelser, bestemte funktioner.
Er e-mails omfattet af persondataforordningen?
Skal e-mails med et medlem, leder eller ansat slettes ved udmeldelse eller ansættelsens ophør?
Skal man have samtykke til udsendelse af nyhedsbreve?
Måske. Kirken skal finde en grund (en hjemmel) i databeskyttelsesreglerne til behandlingen af personoplysninger, hvilket f.eks. kan være et samtykke. Hjemmel vil efter omstændighederne også kunne findes i interesseafvejningsreglen, hvis nyhedsbrevet udsendes i overensstemmelse med foreningens formål.
Hvad er behandling af personoplysninger?
Behandling af personoplysninger og persondata er en aktivitet eller en række af aktiviteter, som involverer brug af personoplysninger. Det kan være både indsamling, registrering, opbevaring, sletning eller ændring, søgning i, sammenstilling, overladelse eller videregivelse til personer, myndigheder, selskaber mv. uden for kirken.
Billeder
Er der nye regler for billeder?
Hvad er et situationsbillede?
Situationsbilleder kan normalt offentliggøres uden, at dem på billedet har givet samtykke til det. Udgangspunktet er, at situationsbilleder kan offentliggøres uden samtykke med hjemmel i interesseafvejningsreglen i persondataforordningens § 6, stk 1,f.
Hvad er et portrætbillede?
Må man dele billeder fra arrangementer o. lign. i menighedsblade eller på en lukket side på internettet?
Hvor lang tid må billeder være tilgængelige på eksempelvis kirkens hjemmeside?