24 jan Databeskyttelse i Foreningsdanmark
24. januar 2019
GDPR og drift af forening: 2018 bød på store omvæltninger for alle, der behandler personoplysninger, og GDPR var et af de helt store samtaleemner på direktionsgangene rundt omkring i landet. De offentlige myndigheder havde tilsvarende travlt med at blive klar inden den 25. maj 2018, hvor databeskyttelsesforordningen trådte i kraft, men særligt små virksomheder og frivillige foreninger oplevede udfordringer med at skulle imødekomme de nye, skærpede krav.
Hvor kringlet er det?
En uoverskuelig opgave
Den 4. januar 2019 offentliggjorde Justitsministeriet en vejledning, der skal hjælpe frivillige foreninger og organisationer med at sikre sig, at de overholder databeskyttelsesreglerne. For mange foreninger, der drives af frivillige, kan det virke som en uoverskuelig opgave at skulle sætte sig ind i det databeskyttelsesretlige område, og der kan opstå tvivl om, hvorvidt også små, frivillige foreninger og organisationer er omfattet af reglerne.
Er din forening omfattet af GDPR?
Databeskyttelsesreglerne gælder ikke for behandling af personoplysninger, der foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Det er således ikke alle frivillige foreninger, der vil være omfattet af reglerne, fordi de ikke drives som en erhvervsmæssig eller kommerciel aktivitet. Men oftest vil de dog alligevel være omfattet på baggrund af den behandling, som de foretager.
Behandlingen falder således uden for den frivilliges privatsfære, hvis foreningen instruerer den frivillige i at indsamle personoplysninger om fx brugere af et tilbud, som foreningen driver. Når foreningen instruerer den frivillige i, hvilke oplysninger der skal noteres, og oplysningerne på et tidspunkt vil kunne blive videregivet til foreningen, vil behandlingen være omfattet af reglerne.
Foreninger, der beskæftiger sig med børn, vil være forpligtede til at indhente børneattester, hvorfor der ligeledes vil være tale om behandling af personoplysninger inden for rammerne af databeskyttelsesforordningen.
Også aktiviteter som korrespondance, føring af adressefortegnelse og i et vist omfang sociale netværks- og onlineaktiviteter kan bringe en forening inden for rammerne af databeskyttelsesreglerne.
Adfærdskodekser – løsning eller langsommelig proces?
I erkendelse af udfordringerne, særligt for mindre dataansvarlige, indsatte man i sin tid regler om adfærdskodekser i databeskyttelsesforordningen. Et adfærdskodeks er inden for databeskyttelsesretten et sæt retningslinjer, som skal hjælpe med at sikre korrekt anvendelse af databeskyttelsesreglerne. Ligeledes kan tilslutning til et adfærdskodeks bidrage med at påvise, at fx en forening lever op til sine forpligtelser i forhold til databeskyttelse.
En sammenslutning af andre organer, der repræsenterer flere dataansvarlige, kan således udarbejde et adfærdskodeks, som mindre, underliggende dataansvarlige kan tilslutte sig. På denne måde vil større lands- eller hovedforeninger med flere underliggende foreninger kunne sikre sig, at alle overholder databeskyttelsesforordningen og samtidig hjælpe de små, underliggende foreninger med at påvise, at de lever op til deres forpligtelser. Lands- eller hovedforeninger har typisk indgående kendskab til den sædvanlige behandling af personoplysninger inden for netop deres område, og vil derfor kunne udarbejde et adfærdskodeks, der omfatter de fleste typer af behandlinger inden for et bestemt foreningsområde.
Et adfærdskodeks skal forelægges for Datatilsynet, der skal vurdere, om kodekset overholder databeskyttelsesforordningen. For at kunne blive godkendt, skal et adfærdskodeks opfylde en række minimumskrav, der bl.a. omfatter omhyggelig forberedelse, såsom høring af relevante interessenter.
Det kan således være en langsommelig og krævende proces for frivillige foreninger selv at udarbejde et adfærdskodeks, og der er da heller ikke på nuværende tidspunkt blevet udarbejdet adfærdskodekser for foreningers behandling af personoplysninger, selvom Justitsministeriet opfordrer hertil i deres vejledning.
Hos REVI-IT har vi stor erfaring med at rådgive virksomheder og foreninger om GDPR, og vi oplever, at mange af vores kunder ser GDPR som en uoverskuelig opgave, der forhindrer dem i at fokusere på deres kerneaktiviteter.
Det er vores opfattelse, at adfærdskodekser kan være en rigtig god løsning for større lands- eller hovedforeninger med flere mindre foreninger under sig, der kan have svært ved at overskue reglerne, men det er ikke en mulighed for alle, og det vil stadig være nødvendigt at skulle sætte sig ind i databeskyttelsesreglerne eller søge ekstern rådgivning.
Til skimmeren: De tre hurtige svar
Hvis du bare vil have det hurtige overblik, så er her i punktform, hvad vi har konkluderet på basis af Datatilsynets tekst:
- SMS’er må ikke indeholde følsomme eller fortrolige informationer. Tjek derfor, at en eventuel besked ikke kan bruges til at udlede følsomme informationer om SMS-beskedens modtager.
- SMS’er må gerne indeholde almindelige personoplysninger – der skal dog fortsat laves en risikoanalyse.
- Dataminimeringsprincippet skal følges. SMS-beskeder skal derfor være korte og præcise.