FAQ om GDPR

Hvordan griber vi GDPR-arbejdet an i praksis? Hvordan griber vi GDPR-arbejdet an i praksis?

GDPR-arbejdet kan føles som noget af en mundfuld. Derfor har vi lidt gode råd til, hvordan I kan gribe det an i praksis ude hos jer i grupperne, regionerne og andre enheder.

Først og fremmest vil vi foreslå, at I udpeger 1-2 ansvarlige, der har bolden. Husk at udpege en ny, hvis en ansvarlig stopper.

De ansvarlige kan indkalde til GDPR-møder 2-4 gange årligt, fx i forbindelse med arbejdsdage, hvor I gennemgår jeres GDPR-arbejde.

Her kan I med fordel tage udgangspunkt i Datatilsynets GDPR-univers for foreninger.

I er også velkommen til at benytte denne tjekliste:

Har I overblik over jeres persondata? Er jeres fortegnelse opdateret?
Er jeres privatlivspolitik opdateret? Og fungerer jeres procedure med at henvise til den?
Er persondata aflåst (fysisk og digitalt), så uvedkomne ikke har adgang til dem?
Har I styr på jeres databehandlere?
Er persondata, som ikke længere tjener et formål, slettet? Husk også fotos.
Har de rette personer de rette adgange?
Har alle personer med adgang til personoplysninger kendskab til GDPR og IT-sikkerhed?

Hvordan sender vi følsomme og fortrolige oplysninger? Hvordan sender vi følsomme og fortrolige oplysninger?

Indimellem kan man blive nødt til at sende følsomme eller fortrolige personoplysninger fx via e-mail. Her vil vi anbefale jer, at I skriver oplysningerne ind i et dokument (fx Word eller Excel) og sætter en lås på, før I vedhæfter og sender det via e-mailen. Koden kan I overbringe til modtageren via et andet system, en sms eller på anden måde, hvor uvedkomne ikke kan få adgang til den. I kan også lægge oplysningerne i en mappe i et lukket system, hvor I linker ind til oplysningerne. Husk adgangsbegrænsning til mappen. I kan også overbringe informationerne personligt eller finde på andre sikre løsninger.

Må vi dele oplysninger i forbindelse med samkørsel til en lejr? Må vi dele oplysninger i forbindelse med samkørsel til en lejr?

Det må I gerne, hvis I husker oplysningspligten og allerede ved tilmeldingen til lejren fortæller deltagerne, at I vil dele deres kontaktoplysninger med de andre deltagere, så de kan koordinere kørsel. På den måde får spejderne mulighed for at sige fra, hvis de ikke ønsker at optræde på sådan en liste.

I forbindelse med tilmelding skal I oplyse om, 1) at der vil blive delt oplysninger, så deltagerne kan koordinere samkørsel, 2) hvilke oplysninger, der vil blive delt, samt 3) hvor deltagere kan henvende sig, hvis de ikke ønsker at få delt deres oplysninger med de andre deltagere.

Sørg for at tænke så konkret og dataminimerende som muligt. I dette tilfælde vil det oftest være nok at dele oplysninger som navn, by, mailadresse og telefonnummer.

Alternativt kan I spørge spejderne, om de ønsker at få delt deres kontaktinformationer i forbindelse med samkørsel, ”Ja” eller ”Nej”. Husk også her at beskrive hvilke oplysninger, der vil blive delt.

Står I en situation, hvor I efter tilmelding finder ud af, at I gerne vil dele deltagernes kontaktinformationer mellem deltagerne, kan I sende deltagerne en mail, hvor I spørger, hvem der ønsker at få delt sine kontaktinformationer i forbindelse med samkørsel. Herefter kan I dele oplysningerne imellem dem, der har takket ja.

Må vi videregive oplysninger til en venskabsgruppe i forbindelse med en tur? Må vi videregive oplysninger til en venskabsgruppe i forbindelse med en tur?

Det må I gerne, hvis I husker oplysningspligten og allerede ved tilmeldingen til turen fortæller deltagerne, at I vil dele oplysninger med venskabsgruppen. Husk også at beskrive hvilke oplysninger I deler med venskabsgruppen samt formålet med at dele oplysningerne, altså, hvorfor I deler oplysningerne.

Se også spørgsmålet om samkørsel ovenfor.

Må vi dele oplysninger internt i teamet på en lejr? Må vi dele oplysninger internt i teamet på en lejr?

I må gerne dele oplysninger internt i teamet. I er dog stadig forpligtet til at sikre jer, at kun relevant data deles med relevante personer, som har de fornødne rettigheder til at se den info, I deler.

Et madhold har fx ikke brug for at se de tilmeldtes kontaktinfo og lign. men kun eventuelle tilpasninger i kosten. Det bedste er at fjerne personoplysningerne helt.

Printer I lister/stamkort ud i forbindelse med ture, skal I sørge for at få dem makuleret igen umiddelbart efter endt tur. Alternativt skal I sikre en anden sikker håndtering af personoplysningerne.

Et godt fif er at søge oplysningerne frem på mobilversionen af Medlemsservice i stedet for at printe dem.

Må vi dele oplysninger i forbindelse med legeaftaler udenfor spejdergruppen? Må vi dele oplysninger i forbindelse med legeaftaler udenfor spejdergruppen?

Nej, man må ikke slå op i Medlemsservice, hente og dele spejdernes personoplysninger med henblik på koordinering af private legeaftaler, der ikke vedrører spejderlivet i gruppen. Spejdernes personoplysninger må kun bruges til administration af spejdernes medlemskaber og spejderarbejdet i gruppen.

Men hvad kan I så gøre?

Hvis forældre ønsker at få kontaktinformationer til koordinering af private legeaftaler, og de selv tilbyder at indsamle kontaktinformationer, lave en kontaktliste og dele med alle interesserede, kan I fx videresende en mail fra forældrene om dette til relevante spejderforældre i gruppen, så forældrene selv kan stå for en sådan kontaktliste udenom gruppen.

Hvordan spørger vi om samtykke til behandling af helbredsoplysninger? Hvordan spørger vi om samtykke til behandling af helbredsoplysninger?

Hvis I har behov for at indhente, opbevare og bruge helbredsoplysninger fx i forbindelse med en lejr, kan I benytte nedenstående tekst og indhente samtykket i forbindelse med tilmeldingen til lejren.

Accept til behandling af helbredsoplysninger

[Indsæt afkrydsningsfelt] Jeg bekræfter hermed, at I må bruge, dele og opbevare de helbredsoplysninger, jeg har givet jer her.

Du kan til enhver tid tilbagekalde dit samtykke ved at henvende dig til [indsæt kontaktinformation].

Læs mere om, hvad helbredsoplysningerne bruges til i vores persondatapolitik [indsæt link].

OBS: Et barn under 13 år kan ikke selv afgive samtykke og her vil forældrene skulle træde til.

Eksempel på tekst til bekræftelse af alder:

Bekræft alder

Er du under 13 år, skal dine forældre/værger hjælpe dig med at tilmelde dig, så vi sikrer os, at du ved, hvad du siger ja og evt. betaler til.

[Indsæt afkrydsningsfelt] Jeg bekræfter hermed, at jeg er fyldt 13 år.

[Indsæt afkrydsningsfelt] Jeg giver som forælder/værge hermed samtykke på vegne af mit barn/personen, jeg er værge for.

Vi har brug for hurtig adgang til helbredsoplysninger – hvad gør vi? Vi har brug for hurtig adgang til helbredsoplysninger – hvad gør vi?

Spørgsmål: Vi skal på spejderlejr med et barn med sukkersyge. Hvis spejderen får et insulinchok, skal vi hurtigt kunne hjælpe. Så er der ikke tid til, at vi først skal logge ind i Medlemsservice og finde feltet Helbredsoplysninger for at få informationer om, hvad vi skal gøre. Må vi printe vejledningen?

Svar: Ja, det må I selvfølgelig gerne. Sørg for at opbevare informationen et sikkert sted, hvor I ikke risikerer at tabe den, fx en lukket lynlåslomme eller i en pung, så uvedkommende ikke kan få adgang til informationen. Sørg også for at dataminimere, dvs. print kun de mest nødvendige personoplysninger. Hvis muligt, bør navne udelades helt. Destruer papiret, når lejren er slut.

Hvad gør vi, når en spejder trækker sit foto-samtykke tilbage? Hvad gør vi, når en spejder trækker sit foto-samtykke tilbage?

Først og fremmest betyder det, at I ikke må dele og tage fotos af spejderen fremadrettet, jf. korpsets privatlivspolitik.

Spejderen kan også bede om at få slettet alle fotos, hvor denne er afbilledet, og også andre personoplysninger, jf. Datatilsynets vejledning trin 5. I skal i dette tilfælde undersøge, om spejderen har ret til det, de beder om, jf. trin 5 i Datatilsynets vejledning om de registreredes rettigheder.

Har spejderen ret til at få slettet sine oplysninger, skal I gennemgå jeres arkiver, mapper, hjemmeside, mv. og sørge for at få slettet de ønskede personoplysninger. Det er derfor en god idé at have styr på trin 5: ”Sørg for at have gode procedurer” herunder at have styr på, hvor I opbevarer hvilke data.

Det er vores vurdering, at I ikke behøver slette gruppebilleder ved forespørgsel om dette, da gruppens interesse i at beholde billedet, oftest vil overstige den enkelte persons interesse i ikke at blive afbilledet. Får I en henvendelse fra en tidligere spejder, der ønsker at blive slettet fra et gruppebillede, må I meget gerne række ud til os på Korpskontoret.

Skal vi spørge om samtykke til at tage og bruge billeder ved lejre, mv.? Skal vi spørge om samtykke til at tage og bruge billeder ved lejre, mv.?

Arrangerer I en lejr, en tur eller lignende for børn og unge, vil vi altid anbefale jer at spørge spejderne om lov (samtykke), før I tager og deler fotos af dem. Dette gøres lettest ved tilmeldingen.

Grunden er, at børn og unge nyder en særlig beskyttelse ifølge Databeskyttelsesforordningen, hvilket betyder, at der ikke skal så meget til, før børnenes interesse i at undgå at blive afbilledet, vil overstige vores interesse i at offentliggøre billedet. (Se også under Trin 2: Samtykke til foto i Medlemsservice.)

Er lejren kun for jeres egen gruppe, behøver I ikke spørge om lov, da spejderne allerede har tilvalgt/fravalgt brug af fotos i Medlemsservice.

Der findes dog ifølge Datatilsynet ingen specifikke databeskyttelsesretlige regler om offentliggørelse af billeder på internettet, herunder sociale medier, jf. Datatilsynets hjemmeside.

Som udgangspunkt kan harmløse, almindelige billeder optaget under en forenings udfoldelse af aktiviteter offentliggøres uden samtykke, da det vurderes, at foreningen (den dataansvarlige) har en legitim interesse i at offentliggøre billedet, og denne interesse overstiger den registreredes interesser eller rettigheder. Hjemlen er her Databeskyttelsesforordningens Artikel 6, 1(f), også kendt som interesseafvejningsreglen.

Man skal dog være opmærksom på oplysningspligten over for de personer, der fremgår af billederne, og sørge for, at den eller de personer, der er på billedet, er informeret om, at du har tænkt dig at offentliggøre billedet på internettet, så de har mulighed for at reagere, f.eks. gøre indsigelse imod det. Oplysningspligten kan fx opfyldes med en beskrivelse i deltagervilkårene.

Samtykke

Et samtykke skal altid være frivilligt, det skal afgives på et oplyst grundlag, og det skal være muligt at trække sit samtykke tilbage.

Her er et eksempel på, hvordan der kan spørges ind til et fotosamtykke:

Jeg giver samtykke til, at [indsæt arrangør] må bruge billeder af mig eller mit barn, som er taget på lejren/arrangementet, i trykt og digital medlemskommunikation i foreningen som fx medlemsblade og på sociale medier.
Ja, jeg giver samtykke
Nej, jeg giver ikke samtykke

Jeg giver yderligere samtykke til, at [indsæt arrangør] må bruge billeder af mig eller mit barn, som er taget på lejren/arrangementet, i [indsæt arrangør]s markedsføring af kommende aktiviteter målrettet eksterne på trykte og digitale medier samt i reklamer.
Ja, jeg giver samtykke
Nej, jeg giver ikke samtykke

Du kan til hver en tid trække dit samtykke tilbage ved at kontakte [indsæt e-mail].

Læs mere om vores behandling af persondata i vores persondatapolitik [indsæt link].

Må vi ved et jubilæum hente oplysninger på tidligere spejdere i Medlemsservice? Må vi ved et jubilæum hente oplysninger på tidligere spejdere i Medlemsservice?

Det korte svar er: ja, I kan i dette særlige tilfælde trække info fra Medlemsservice, men I skal trække så få persondata som muligt (fx navn og e-mail) og huske at slette kopierne af personoplysningerne igen, når jubilæumsfejringen er overstået.

Det lidt længere svar lyder:

Normalt må I ikke anvende persondata fra Medlemsservice, når først spejderen har meldt sig ud af jeres gruppe. Det skyldes, at man kun må behandle persondata til de formål, som de er indsamlet til, og som man har informeret de tidligere spejdere om. I dette tilfælde, at persondata er arkiveret i 5 år efter udmeldelse pga. krav i bogføringsloven.

Når det gælder jubilæer, forholder det sig lidt anderledes, idet det vurderes, at det er i alles interesse – både de tidligere spejdere og spejdergruppen – at invitationer til jubilæet bliver sendt ud.

I en sag om en fodboldklubs 25-års jubilæum vurderede Datatilsynet med henvisning til Databeskyttelsesforordningens artikel 6, stk. 1, litra f (også kendt som interesseafvejningsreglen), ”at fodboldklubber normalt på baggrund af en interesseafvejning vil kunne behandle oplysninger om tidligere medlemmer i forbindelse med invitationer til f.eks. et 25-års jubilæum eller andre tilsvarende arrangementer. Det lægges i den forbindelse til grund, at fodboldklubberne vil have en berettiget interesse i at behandle personoplysninger til det pågældende formål, mens det samtidig som udgangspunkt må antages, at undladelse af behandling af oplysningerne ikke vil være i de registreredes interesse. Samlet set finder Datatilsynet således, at databeskyttelsesforordningen ikke i sig selv udelukker, at fodboldklubber kan invitere tidligere medlemmer til f.eks. et 25-års jubilæum eller andre tilsvarende arrangementer.” Se evt. hele sagen her.

Hvis I har fysiske/digitale kontaktlister over tidligere spejdere liggende i et arkiv eller lignende, må I også bruge persondata herfra i forbindelse med jubilæet.

Tilbage til persondata-siden.