© Gurli Elbækgaard. Fotograf: Simon Klein-Knudsen

Om GDPR

GDPR er en forkortelse for ’General Data Protection Regulation’ – en europæisk forordning, som vedrører beskyttelse af personoplysninger. Forordningen udspringer af Den Europæiske Unions charter om grundlæggende rettigheder. Reglerne skal beskytte fysiske personer mod misbrug af personoplysninger. Personoplysninger må kun anvendes til lovlige formål, derfor skal GDPR sikre, at dette altid er klart for personen, samt at det sker på et sikkert grundlag.

Når man som medlemsorganisation administrerer og uddeler Kulturelle Midler fra VISDA, skal man overveje, om dette betyder, at der sker en behandling af personoplysninger samt sikre at reglerne overholdes.

Behandling af personoplysninger

Hvad er en personoplysning?
En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger, fx:

  • Navn
  • Adresse
  • Telefonnummer
  • E-mail
  • Medlemsnummer
  • CPR-nummer
  • Kontonummer
  • IP-adresse

Hvad er en behandling?
Enhver aktivitet eller række af aktiviteter der foretages med eller uden automatisk behandling af en personoplysning, fx:

  • Indsamling
  • Registrering
  • Organisering
  • Systematisering
  • Søgning
  • Opbevaring
  • Tilpasning eller ændring
  • Brug
  • Videregivelse
  • Sletning eller tilintetgørelse

Hvornår må man behandle personoplysninger?
For at behandle personoplysninger kræver det, at ét eller flere af nedenstående krav er opfyldt (retsgrundlaget):

  • Man forfølger en legitim interesse, så længe denne ikke overstiger den pågældende persons interesse eller grundlæggende rettigheder (interesseafvejningsreglen)
  • Man har indhentet samtykke fra personen, hvis oplysninger behandles
  • Man behandler oplysningerne som led i opfyldelse af en aftale
  • Man har en retlig forpligtelse som følge af lovgivning
  • Behandlingen er nødvendig for at beskytte en persons vitale interesser
  • Udførelse af en opgave i samfundets interesse eller offentlig myndighedsudøvelse

I mange tilfælde kan personoplysninger behandles, fordi man forfølger en legitim interesse.

Når følsomme og fortrolige oplysninger behandles, gælder der derudover yderligere krav.

Eksempler på aktiviteter hvor der sker behandling af personoplysninger:

  • Modtagelse og behandling af ansøgninger om støtte
  • Registrering af oplysninger om kandidater/modtagere, der indstilles til legater, priser, mv.
  • Registrering af deltagere ved uddannelse og konferencer
  • Oplysninger som gemmes ifm. juridisk rådgivning
Behandling af fortrolige og følsomme personoplysninger

Disse typer oplysninger kan gøre betydelig skade på personen, hvis oplysningerne fx bliver offentliggjort eller anvendt af cyberkriminelle. Derfor gælder skærpede krav, når fortrolige og følsomme oplysninger behandles.

Eksempler på følsomme personoplysninger:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Kun de oplysninger, der er nævnt ovenfor, er følsomme personoplysninger.

Eksempler på fortrolige oplysninger:

  • CPR-nummer
  • Straffedomme og lovovertrædelser (fx i straffeattester)
Rettigheder for de personer, hvis oplysninger behandles

Det er vigtigt, at respektere og overholde de registreredes rettigheder.

De tre vigtigste rettigheder som den registrerede har er, at den registrerede har ret til at:

  • Få indsigt i egne personoplysninger
  • Få sine urigtige personoplysninger berigtiget
  • Få sine personoplysninger slettet 

Hvordan skal disse rettigheder opfyldes?
Lav en intern vejledning omkring, hvordan rettighederne skal opfyldes, når en ansøger eller et medlem retter henvendelse.

Samtidig skal det sikres, at oplysningerne er noteret korrekt i det system, hvor de behandles.

Læs mere om hvordan rettighederne kan opfyldes nedenfor.

Gode råd til GDPR compliance

1. Skab overblik

Det er vigtigt, at skabe et overblik over behandlingerne, dvs. hvad personoplysningerne bruges til.

Lav en oversigt/fortegnelse over alle de personoplysninger, som indsamles, opbevares og bruges.

Format
Oversigten skal laves skriftligt og elektronisk. Der er intet krav til formatet, kun til indhold, hvorfor oversigten kan laves i for eksempel Word eller Excel.

En oversigt skal indeholde følgende:

  • Hvem der er dataansvarlig og kontaktoplysninger, herunder om der er et fælles dataansvar med fx en hovedorganisation
  • Formålet med behandlingen
  • Hvilke personoplysninger der behandles og om hvem (kategorier)
  • Eventuelle overførsler til tredjelande
  • Modtagere af personoplysninger, fx banker for opkrævning af betaling, SKAT osv.
  • De forventede slettefrister for de forskellige kategorier af oplysninger (samt foreningens overvejelser i den forbindelse)
  • En beskrivelse af foreningens sikkerhed ved behandling af personoplysninger (samt foreningens overvejelser i den forbindelse).

Eksempel på indholdet i en oversigt i forhold til uddeling af midler:

Dataansvarlig

  • Organisationen/foreningens navn og CVR-nummer
  • Mail
  • Adresse
  • Navn på organisationens DPO (Data Protection Officer)

Formål
Formålet med behandlingen er håndtering af personoplysninger i forbindelse med organisationens/foreningens administration og uddeling af (ophavsretlige) Kulturelle Midler fra VISDA, jf. GDPR artikel 6 (1)(c), og overholdelse af bogføringsloven.

Dette omfatter følgende grupper af personer:

  • Personer der ansøger om at modtage del i midlerne, fx ansøgere til legater, projektstøtte, udstillingsstøtte m.v.
  • Personer der indstilles til modtagelse af priser eller anerkendelser
  • Deltagere der registreres i forbindelse med uddannelse eller kurser
  • Deltagere der registreres ved afholdelse af konferencer, seminarer m.v.
  • Personer der modtager juridisk rådgivning

Personoplysninger
Oplysningerne der behandles er: identifikationsoplysninger, herunder CPR-nummer, navn, adresse, telefonnummer og e-mail, medlemsnummer samt kontonummer.

Slettefrister
Personoplysningerne slettes senest 5 år efter afslutningen på det regnskabsår, hvor ansøgningen blev modtaget, støtte blev tildelt eller aktiviteten blev afholdt.

Sikkerhed
Behandling af personoplysninger sker i overensstemmelse med interne retningslinjer, som bl.a. fastsætter rammerne for autorisation- og adgangsstyring og logning.

Personoplysninger opbevares i krypteret form og transmitteres krypteret. Fysisk materiale opbevares aflåst.

2. Få styr på sikkerheden

Håndteringen af personoplysninger skal foregå på en betryggende måde.

Mindsk risikoen for, at personoplysningerne stjæles, mistes eller skades ved at kortlægge og vurdere den konkrete risiko. Husk altid at dokumentere risikovurderingen.

Brug kun godkendte systemer til at gemme personoplysninger – brug ikke private computere og USB-nøgler m.v.

Krypter e-mails, når der sendes personoplysninger – e-mails uden kryptering er som at sende et åbent postkort.

På baggrund af risikovurderingen skal nødvendige tekniske og organisatoriske foranstaltninger iværksættes. Disse foranstaltninger kan for eksempel være:

  • Antivirus
  • Firewall
  • Brug af adgangskoder
  • Log af adgangsforsøg
  • Udarbejdelse af en IT-sikkerhedspolitik
  • Kryptering

3. Oplys om behandlingen

Når personoplysninger om fx ansøgere behandles, skal en række oplysninger meddeles:

  • Organisationens/foreningens navn og kontaktoplysninger
  • Hvilke personoplysninger der behandles og om hvem (kategorier)
  • Formålene med behandling og hvorfor organisationen/foreningen må behandle – fx formål om behandling af ansøgninger med baggrund i legitim interesse
  • De legitime interesser som forfølges med behandlingen – fx at behandling af ansøgninger er nødvendigt for at kunne udvælge modtagere og uddele støttemidler
  • Eventuelle modtagere eller kategorier af modtagere – fx at kontooplysningerne videregives til organisationens/foreningens bank med henblik på udbetaling
  • Eventuelle overførsler til tredjelande
  • Eventuelle automatiske afgørelser, herunder profilering, fx automatiseret afslag på ansøgninger
  • Slettefrister eller kriterier for hvornår foreningen vil slette oplysningerne – fx at oplysningerne slettes senest 5 år efter afslutningen på det regnskabsår, hvor ansøgningen blev modtaget
  • De registreredes rettigheder – fx krav på indsigt, tilbagekaldelse af samtykke, klagemuligheder m.v.

Oplysningerne kan fremgå af en privatlivspolitik, som præsenteres for/gives til ansøgerne i forbindelse med, at de indgiver ansøgningen. Se evt. også Datatilsynets skabelon til iagttagelse af oplysningspligten og indsigtsretten her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/vejledninger-i-pdf-format

4. Lav aftaler om behandlingen

Hvis organisationen/foreningen indgår aftaler med andre foreninger/organisationer/virksomheder om behandling af personoplysninger, skal organisationen:

  • indgå en aftale med om behandlingen af oplysninger med baggrund i GDPR
  • holde øje med at de behandler oplysningerne på den måde, som det følger af aftalen

Et eksempel på dette kunne være, hvis organisationens/foreningen indgår i et samarbejde med en uddannelsesinstitution om afholdelse af uddannelsesaktiviteter finansieret af Kulturelle Midler fra VISDA, og at det i den forbindelse er uddannelsesinstitutionen, der står for registrering af deltagere. Se evt. også Datatilsynets skabelon til databehandleraftaler m.v. her.

Opsummerende overvejelser
  • Er der et klart lovligt formål med indsamlingen og opbevaringen af personoplysninger?
    Personoplysninger må kun indsamles til lovlige formål og alene gemmes, så længe det er relevant for opfyldelse af formålet, fx overholdelse af bogføringsloven.
  • Er der et retsgrundlag (fx legitim interesse) og uddeling af midler
    Behandlingen skal have et retsgrundlag fra GDPR, fx retningslinjer fra Kulturministeriet.
  • Informeres de personer, hvis oplysninger behandles?
    En notifikation, om hvordan personoplysninger behandles, skal gives forinden behandling påbegyndes, fx i en privatlivspolitik der oplyses i forbindelse med indsamlingen.
  • Indsamles og behandles kun de personoplysninger, der er strengt nødvendige til formålet?
    Det er eksempelvis ikke nødvendigt at indsamle oplysninger om medlemmernes personnumre, hvis medlemmerne kan identificeres ved fødselsdato og folkeregisteradresse.
  • Er de personoplysninger, som behandles, korrekte?
    Hvis det opdages, at der behandles personoplysninger, som ikke længere er korrekte eller nødvendige, skal de rettes eller slettes. Der bør fastsættes procedurer for, hvordan der løbende ajourføres oplysninger.
  • Er personoplysningerne opbevaret i længere tid end nødvendigt?
    Det skal sikres, at personoplysningerne slettes rettidigt i forskellige situationer.
  • Overføres personoplysninger til tredjelande?
    Tredjelande er lande udenfor EØS og Andorra, Argentina, Canada (private virksomheder), Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Syd Korea, Schweiz, England, Skotland, Wales, Nordirland og Uruguay. Overførsel til disse lande kræver særlige beskyttelsestiltag.
  • Beskyttes de personoplysninger, som bevares?
    Eksempelvis ved at sikre, at der ikke er andre, der får adgang til oplysningerne, og at tilstrækkelig IT-sikkerhed er implementeret.
  • Kan alle ovenfor nævnte punkter dokumenteres og kontrolleres?
    Fremgår behandlingen af en fortegnelse med risikovurdering, og er der dokumentation for et korrekt sikkerhedsniveau, samt bliver der foretaget en årlig gennemgang i forhold til GDPR overholdelse.