En guide til sognene om Persondataforordningen
Hvad der sker og hvorfor er det vigtigt?
Den 25. maj træder EU’s persondataforordning i kraft.
I øjeblikket er det persondataloven fra år 2000 der regulerer, hvordan persondata skal behandles (dvs. hvad du gør med/ved data som kan identificere en fysisk person, herunder indsamling, brug, arkivering og deling af sådan data).
Den 25. maj 2018, vil Persondataforordningen (også kaldet GDPR[1]) erstatte den hidtidige lov. Folketinget har ligeledes d. 17. maj 2018 vedtaget en ny Databeskyttelseslov. I bør dog bemærke, at denne lov supplerer og implementerer de centrale bestemmelser i Persondataforordningen samt beskriver hvor dansk lovgivning afviger fra Persondataforordningen.
En af de vigtigste ændringer er, at Persondataforordningen lægger meget større vægt på gennemsigtighed, åbenhed og dokumentation. Man skal i langt højere grad end tidligere vise, at man overholder lovgivningen - Dette er indarbejdet i idéen om ansvarlighed -"accountability".
Vi forsøger i denne guide, at give et kort overblik over hvad den nye forordning betyder for de katolske sogne i Danmark.
Hvad er persondata?
Enhver for form information om en identificeret eller identificerbar fysisk person.
Det vil altså sige alle oplysninger, som direkte eller indirekte, alene eller i kombination, kan identificere en bestemt fysisk person. Billeder er også persondata.
Hvad er behandling?Enhver aktivitet eller række af aktiviteter som involverer brug af persondata, fx indsamling, registrering, systematisering, ændring af, søgning i, sammenstilling, overladelse eller videregivelse.
Hvem har ansvaret for persondata?
En dataansvarlig er den fysiske eller juridiske person, offentlige myndighed mv., der bestemmer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne), herunder af hvem personoplysningerne må behandles.
Ansgarstiftelsen er ansvarlig for de data der behandles på bispekontoret, Historisk arkiv, Katolsk orientering, Pastoralcentret, Sankt Andreas Bibliotek, samt alle de sogne og øvrige institutioner, der bruger Ansgarstiftelsens CVR nummer.
Sogne, som er oprettet med et selvstændigt CVR nummer, er selv ansvarlig for behandling af persondata. Sognepræst og menighedsråd er derfor sammen ansvarlige for, at sognet (den dataansvarlige) overholder persondataforordningen. Bispekontoret vil hjælpe disse sogne til at opfylde de forpligtelser der er, som dataansvarlig.
I sogne, som ikke er oprettet med et selvstændigt CVR nummer, men som benytter Ansgarstiftelsens CVR nummer, er det Ansgarstiftelsen, som helhed, der er ansvarlig for behandling af data.
Ansgarstiftelsens centraladministration, sognepræsten og menighedsråd har fælles ansvar for, at sognet overholder persondataforordningen.
En databehandler er modsat en dataansvarlig en fysisk eller juridisk person, offentlige myndighed mv., der behandler personoplysninger på vegne af den dataansvarlige.
Databehandleren bestemmer i modsætning til den dataansvarlige hverken hvordan eller med hvilke formål, der må behandles personoplysninger. Sognesekretærer o.l. frivillige eller ansatte er databehandlere.
Ansvarlighed - Hvad er det og hvordan opfylder vi det?
De nye ansvarlighedsprincipper betyder, at vi skal kunne vise, at vi overholder forordningen (er compliant). For det meste vil det være tilstrækkeligt, at henvise til Angarstiftelsens Privatlivspolitik,[2] men I er selvfølgelig også forpligtiget til at overholde dnne politik.
Hvad er kravene for at behandle personoplysninger?
Som tidligere nævnt er det især ny krav om ansvarlighed. Persondataforordningen kræver, at personoplysninger skal:
a) Behandles lovligt, rimeligt og på en gennemsigtig måde;
b) Indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelig med disse formål.
Dette betyder, at enkeltpersoner skal være informeret om, hvad I gør med deres persondata, inden I behandler dem og et evt. samtykke skal være på plads til denne behandling;
c) Være passende, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, oplysningerne skal anvendes til.
d) Være korrekte og up-to-date. Hvis I opdager, at persondata, er ukorrekte bør disse data enten slettes eller rettes med det samme. Alle personoplysninger bør kontrolleres med jævne mellemrum for at sikre, at de fortsat er up-to-date og relevante.
e) Opbevares på en måde, hvor man ikke kan identificere den registrerede længere end nødvendigt i forhold til de formål, hvortil personoplysningerne behandles. For eksempel, bør sjælesorgssamtaler ikke gemmes (ej heller i mail) i årevis uden en klar begrundelse.
f) Opbevares sikkert. Opbevaring skal ske i aflåste arkiver eller være beskyttet med password. Personoplysninger må ikke ligge frit tilgængeligt så uvedkommende kan få adgang til dem.
Det lovlige grundlag og kategorier af persondata?
Med Persondataforordningen, er det nu nødvendigt at forklare det lovlige grundlag (hjemlen) for at I må foretage en behandling af persondata. Det skal være muligt at gennemgå de behandlinger I foretager af persondata og identificere det lovlige grundlag herfor.
Det lovlige grundlag skal altid være fuldt dokumenteret, og dermed også en hjælp til jer, til at sikre, at I er i overensstemmelse med forordningen.
Der er overordnet set 3 kategorier af persondata:
1) Almindelige persondata, fx navn, adresse og kontaktoplysninger
2) CPR nummer
3) Følsomme oplysninger, herunder politisk, religiøs eller filosofisk overbevisning
De fleste af de personoplysninger, der behandles af præsten, de ansatte og frivillige i sognet vil blive klassificeret som følsomme, fordi det drejer sig om "religiøs overbevisning".
Derfor er I nødt til, i ekstra høj grad, at kunne vise, at I behandler persondata lovligt.
I en sognekontekst sker dette oftest gennem:
a) Et eksplicit samtykke fra personen; eller
b) Ved at behandlingen sker som led i en "legitim aktivitet" og relaterer til enten medlemmer eller forhenværende medlemmer, og hvor data ikke videregives til tredjemand uden samtykke.
Eksempel: Ved behandling af persondata i forbindelse med valglister ved menighedsrådsvalg, betragtes dataene på listen som følsomme (indirekte, idet man ved at stå på listen, er medlem af Den katolske Kirke). Data må godt behandles, da det kun drejer sig om medlemmer af kirken og valg til menighedsråd er en legitim aktivitet i menigheden, under henvisning til Vedtægterne for menighedsråd og <link file:18208>Vedtægter for valg af menighedsråd. Det er dog nødvendigt at sikre, at uvedkommende ikke får adgang til dataene.
Samtykke
Samtykke i de fleste tilfælde hverken hensigtsmæssigt eller nødvendigt.
Der findes andre lovlige grundlag for behandling af personoplysninger end ved at indhente samtykke. For eksempel, behøver I ikke at indhente samtykke for at sende en liste ud over lektorer eller ansvarlige for kirkekaffe. I dette tilfælde, deles data med andre for at I kan udføre en service for kirkens medlemmer. Dog, hvis det er hensigten, at dele en sådan liste, med personer udenfor kirken og til et andet formål, så vil I blive nødt til at indhente samtykke.
Der er dog en række steder, hvor det er nødvendigt med et samtykke
* Hvis I deler data udenfor Den katolske Kirke i Danmark eller andre, som I ikke har en (civil)retslig forpligtelse til at dele data med (fx civil registrering af dåb, vielse mv.) er det nødvendigt, at få et samtykke.
* Hvis I vil lægge billeder af enkeltpersoner (portrætbilleder eller gruppefotos) eller offentliggøre kirkelige handlinger på hjemmesider eller de sociale medier. Dette gælder især også i forhold til førstekommunion og firmelse.
Når I benytter jer af samtykke som det lovlige grundlag for behandling af persondata, skal I være opmærksom på, at for at et samtykke er gyldigt, skal samtykket være givet frit, specifikt, informeret, utvetydig og med mulighed for at blive trukket tilbage.
Også her, er I nødt til at dokumentere hvordan og hvornår samtykket er indhentet. I skal igen være opmærksomme på, at det meste af den data, der behandles i sognet er følsomt (idet det vedrører "religiøs overbevisning”), hvilket også skærper kravene til et samtykke. Samtykket vil kræve en "klar aktiv accept". Stiltiende accept (»hvis du ikke har svaret inden 8 dage«), for-udfyldte afkrydsningsfelter (»vi har krydset de relevante bokse af for dig«) eller enhver form for passiv accept vil ikke udgøre et tilstrækkeligt samtykke.
Hvis I benytter jer af samtykke, skal I:
- Sikre at ordlyden i samtykkeerklæringen er tilstrækkelig stærk, så I, ved en eventuel tvist, kan bevise, at samtykket er givet utvetydig
- Sikre at personen, der har givet samtykket, 100 % er klar over, hvad han/hun har givet samtykke til.
- Oplyse om retten til at tilbagekalde samtykket til enhver tid
- Sikre, at proceduren for at tilbagekalde et samtykke er lige så simpelt, som proceduren for at give et samtykke
- Gemme alle samtykker og periodisk gennemgå dem (f.eks. hvert 5 år) for at sikre, at de stadig er gyldige.
Hvad er den registreredes rettigheder?
Persondataforordningen indeholder, kort forklaret, følgende rettigheder for de registrerede personer:
Retten til at være oplyst
At personer har ret til at være oplyst indebærer, at I, på eget initiativ, har pligt til at give den registrerede person en række oplysninger, når I indsamler personoplysninger om vedkommende. Dette sker normalt gennem henvisning til Ansgarstiftelsens/Sognets privatlivspolitik. Generelt er der en række informationer man skal give, herunder:
a) det lovlige grundlag for behandlingen af data
b) hvor længe I gemmer data
c) information om, at personen har ret til at klage til Datatilsynet, hvis de mener, at der er problemer med den måde, I behandler deres persondata
Retten til indsigt (inklusive indsigtsanmodning)
Den registrerede har ret til at modtage en række oplysninger om den eller de behandlinger, I foretager af deres personoplysninger, så de kan kontrollere den lovlige brug af dem og nøjagtigheden af dem. Enhver person har derfor ret og lov til at indgive en indsigtsanmodning.
Indsigtsanmodning
Fra man modtager en indsigtsanmodning, har man 30 dage til at efterleve den.
Man må godt bede vedkommende om at præcisere sin anmodning, da det kan være, at den registrerede kun ønsker indsigt i nogle bestemte oplysninger, hvilket kan lette sagsbehandlingen samt forkorte sagsbehandlingstiden til fordel for den registrerede.
I må dog ikke afvise en anmodning om indsigt fra en registreret, hvis denne ikke ønsker at præcisere sin anmodning. I så fald skal I give indsigt i alle de oplysninger, I behandler om den registrerede.
Man må ikke opkræve et gebyr for at behandle en indsigtsanmodning, medmindre anmodningen er åbenlys grundløs, overdreven eller bliver indgivet gentagende gange.
Retten til berigtigelse (korrektion)
Personer har ret til at få deres persondata korrigeret, hvis de er unøjagtige eller ufuldstændig. Hvis data allerede er givet til tredjemand, skal I videregive korrektionen til tredjemanden og fortælle personen, til hvem data, er videregivet til.
Retten til sletning / retten til at være glemt
Personer har ret til at anmode om sletning eller fjernelse af persondata, hvor der ikke er en overbevisende grund til dens fortsatte behandling (husk at det, at gemme persondata også er en behandling). Dette betyder dog ikke, at en person kan anmode om straks at få sine personoplysninger slettet.
Hvis formålet, dataene blev indsamlet til stadig eksisterer, skal data ikke slettes. Dette gælder f.eks. kirkebøgerne, hvor data aldrig skal slettes. Et andet eksempel er at mange finansielle oplysninger, såsom støtte til kirken, ikke kan slettes i en årrække jf. bogføringsloven.
Det kan bemærkes, at Den katolske Kirke har stadig en legitim interesse i forhold til tidligere medlemmer.
Hvad skal slettes
* Alle data, herunder al kommunikation (inkl. e-mails) som ikke er strengt nødvendige at gemme af klare og præcise årsager
* Data man har fået lov til at behandle gennem et samtykke (fx billeder), hvis samtykket trækkes tilbage
Hvad skal IKKE slettes
* ”Historiske data”. Vi skal ikke slette i kirkebøgerne, selv om en person beder om det. Dette gælder fx også gamle udnævnelser eller tillidshverv en given person har haft. Hvis sognet fx i sit arkiv har en gammel oversigt over kommunionsuddelere, og én på listen ønsker, at blive slette, skal listen ikke slettes.
I øvrigt, skal man løbende slette og destruere data, der ikke længere er nødvendigt at gemme.
Retten til begrænsning af behandling
Personer har ret til at begrænse behandling af deres personoplysninger under visse omstændigheder (for eksempel hvis en person mener, at vedkommendes personoplysninger er unøjagtige eller han/hun gør indsigelse mod behandling). Hvis behandling er begrænset, kan I stadig gemme og opbevare data, men I må ikke bruge dem eller videregive dem.
Retten til at dataportabilitet
Personer har ret til at få udleveret eller overført personoplysninger til deres egne formål på tværs af forskellige tjenester. Det er stærkt usandsynligt at dette vil påvirke sognene.
Retten til indsigelse
Retten til indsigelse indebærer, at den registrerede til enhver tid har ret til – af anførte grunde – at gøre indsigelse mod en ellers lovlig behandling af sine personoplysninger.
Hvis I modtager en indsigelse fra den registrerede, skal I derfor tage stilling til, om indsigelsen er berettiget, også selvom om behandlingen af oplysningerne i øvrigt er lovlig jfr. privatlivspolitikken. Indsigelse mod ellers lovlig behandling bør ske sammen med tungtvejende grunde om hvorfor behandlingen ikke bør finde sted. Den dataansvarlige skal herefter vurdere nødvendigheden af behandlingen på ny og enten stoppe denne eller bevise nødvendigheden af behandlingen overfor den registrerede
Børn og unge
Persondataforordningen har særlig fokus på beskyttelse af børns personoplysninger, dog især i relation til kommercielle internettjenester.
Hvis I har behov for samtykke fra børn for at behandle deres informationer (fx i forbindelse med indskrivning til førstekommunions- og firmelsesundervisning), skal I have forældres eller værges samtykke for lovligt at bruge disse data.
Den danske databeskyttelseslov har sat en aldersgrænse på 13 år, hvor et barn selv kan give samtykke. I skal derfor især være opmærksomme på unge, der modtager et sakramente. Er de over eller under 13 år?
Hvad gør vi, hvis der er et brud på datasikkerheden?
Et brud på datasikkerheden er et, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret afsløring af - eller adgang til personoplysninger.
Med persondataforordningen bliver det, under visse omstændigheder, obligatorisk, at anmelde brud både til Datatilsynet og de enkeltpersoner der påvirkes af bruddet (dvs. hvor der er en høj risiko for de involverede personer, for eksempel identitetstyveri).
Den dataansvarlige er forpligtiget til at underrette Datatilsynet i tilfælde af brud på datasikkerheden indenfor 72 timer, efter at man har opdaget bruddet. Det er vigtigt, at man i sognet noterer denne frist.
Man kan efterfølgende (efter de 72 timer) indgive flere detaljer om bruddet, men Datatilsynet vil gerne vide:
- det mulige omfang af bruddet
- årsagen til bruddet
- hvilke risikobegrænsende handlinger man planlægger
- hvordan man overordnet vil håndtere problemet
Datatilsynet har oprettet en digital løsning for indberetning af brud på datasikkerheden. Løsningen er placeret på https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed
Har I anmeldt et brud på persondatasikkerheden vil jeres anmeldelse automatisk blive sendt til Datatilsynet. Hvis det bliver aktuelt, vil Datatilsynet efterfølgende kontakte jer.
Husk at downloade en kopi af blanketten, når I har sendt den. Det er jeres bevis på, at I har foretaget en indberetning.
Hvad er straffen for ikke at overholde persondataforordningen?
Der har været megen omtale om de mulige bødestraffe under persondataforordningen. De individuelle lande har lov til, selv at bestemme bødestørrelsen, men de maksimale bødestraffe er fastsat i selve forordningen.
Bødestørrelsen bliver signifikant større (hvor man før fx fik en bøde på 25.000 kr. kan man nu få bøder på op til 10 millioner euro eller 2 % af den årlige omsætning)
Datastyrelsen har dog udtalt, at de ikke med det samme vil gå ud og give bøder til højre og venstre. Generelt ønsker Datastyrelsen en pragmatisk tilgang til databeskyttelse og det væsentlige er, at virksomhederne bliver bedre til at håndtere opgaven[3]. Dette skal dog ikke være en sovepude, for ikke at overholde forordningen. Datastyrelsen udelukker ikke de store bøder, men den primære sanktion bliver påtaler, grove irettesættelser og påbud, når organisationer overtræder databeskyttelsesreglerne.
Hvad skal vi gøre for at forberede os til persondataforordningen?
Tænk jer om
Forordningen giver lejlighed til at revidere den måde vi alle sammen deler vores og andres personlige data til højre og venstre. I stedet for at tænke hvad der er rart, hurtigt og nemt, er skal man til at overveje, hvad der er nødvendigt. Er det fx nødvendigt at sætte 5 personer som cc på en mail om en dåb? Er det nødvendigt at få en kopi af personernes pas, hvis de skal giftes? Er det nødvendigt at gemme ministrantlisten fra 2014? OSV.
Ryd op
Der skal I princippet tages stilling til alle fysiske og elektroniske dokumenter med persondata på. Hvis I ikke er sikre på, at I skal bruge data (fx en dødsattest fra 1975 eller en ministrantliste fra 2011) skal det makuleres/slettes.
Opbevaring
Check hvor/hvordan persondata opbevares og hvem der har adgang til dem – herunder også, hvem der har adgang til kirkekontoret.
Behandling
Check hvilke persondata I behandler og hvorfor I behandler dem. Har I fx korrespondance liggende fra folk der gerne vil have penge/forbøn/samtale pga. sygdom eller andet.
Deling
Deler i persondata med andre ud over Den katolske Kirke i Danmark og de instanser I er forpligtiget til at dele data med og har I lov til dette?
Privatlivspolitik
Gennemgå Angarstiftelsens privatlivspolitik. Efterlever I politikken og er der persondata I behandler, som der ikke tages højde for i denne?
Drobpbox mv.
Fjern persondata fra googledocs, dropbox og øvrige cloudløsninger for fildeling. (Bispekontoret arbejder på en løsning for fildeling).
Hjemmeside og facebooksider
Tjek persondata (inkl. billeder) på jeres hjemmeside og eventuelle facebooksider. Har I lov til at dele disse offentligt?
Informerer I om Cookies og ved I overhovedet, hvilke data der indsamles på jeres hjemmeside?
Indsigtsanmodninger
Bispekontoret vil udsende en procedure for indsigtsanmodninger.
Sikkerhedsbrud
Bispekontoret vil udsende en procedure for, hvordan I skal håndtere brud på sikkerheden.
Hvordan sikrer I beskyttelse af data?
Det er klart, at beskyttelse af data bør overvejes, når det besluttes, hvilke personlige oplysninger I har brug for og hvordan I behandler dem, herunder hvordan I indsamler dem, opbevarer dem, deler dem og sletter dem.
Med indførelsen af Persondataforordningen, det er meget vigtigt at alle er bevidste om og forstår betydningen af beskyttelse af personoplysninger. Databeskyttelse bør være medtænkt når sognet laver begivenheder og ikke blot noget der er henvist til specialister og advokater. Det er vigtigt, at dem, der planlægger arrangementer - hvor det er nødvendigt, at indsamle persondata - er bevidste om dette og opmærksomme på, hvordan disse persondata behandles.
Generelt, skal man altid tænke sig om, når man har med persondata at gør.
Hvem skal løse alt dette i sognet?
Det kan være, at sognet skal finde én person, der er ansvarlig for beskyttelsen af persondata i sognet, bl.a. ved at kunne støtte og vejlede andre i menighedsrådet og menigheden, samt være kontaktperson til bispekontoret ift. persondataforordningen. Uanset om det er det selvstændige sogn eller Ansgarstiftelsen der er dataansvarlig, er sognepræsten og menighedsrådet og de personer der jævnligt har med persondata at gøre, sammen ansvarlige for, at sognet overholder de retningslinjer og politikker, der kort er beskrevet her og som kan findes i Angarstiftelsens Privatlivspolitik.
Sognene er IKKE forpligtet til at have en databeskyttelsesrådgiver.
Databeskyttelsesrådgivere er påkrævet under visse omstændigheder, såsom i organisationer og virksomheder, der behandler store mængder af følsomme persondata (fx privathospitaler, forsikringsfirmaer m.v.). Men selv om I synes, at I behandler store mængder af følsomme persondata, skal I altså IKKE have en databeskyttelsesrådgiver.
Hvis I har spørgsmål vedrørende persondata, eller er usikre på, hvordan I skal reagere på en henvendelse vedr. samme, kan I kontakte Thomas Larsen TJLkatolsk.dk eller Jacob Messerschmidt JMkatolsk.dk på bispekontoret.
--- Ordliste ---
Personoplysninger: Enhver for form information om en identificeret eller identificerbar fysisk person. Det vil sige alle oplysninger, som direkte eller indirekte, alene eller i kombination, kan identificere en bestemt fysisk person.
Dataansvarlig: Den fysiske eller juridiske person, offentlige myndighed, institution eller et andet organ, der alene eller sammen med andre afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af Personoplysninger.
Databehandler: Den fysiske eller juridiske person, offentlige myndighed, institution eller et andet organ, der behandler Personoplysninger på den dataansvarliges vegne.
Behandling: Enhver aktivitet eller række af aktiviteter som involverer brug af Personoplysninger, fx indsamling, registrering, systematisering, ændring af, søgning i, sammenstilling, overladelse eller videregivelse til personer, myndigheder, selskaber m.v. uden for Den katolske Kirke i Danmark.
Særlige Kategorier af Personoplysninger (følsomme personoplysninger): Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering samt oplysninger i form af biometriske data, såfremt biometriske data behandles med det formål entydigt at identificere en fysisk person.
Persondataforordningen: Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF med tilhørende regulering.
Sletning: Uigenkaldelig sletning af Personoplysninger fra alle lagringsmedier, således at de pågældende Personoplysninger ikke kan gendannes.
[1] GDPR = General Data Protection Regulation
[2] For de sogne der er selvstændige dataansvarlige, er det nødvendigt at have en selvstændig privatlivspolitik. Bispekontoret vil I samarbejde med disse sogne udarbejde de nødvendige politikker.
[3] Version2. Tirsdag, 20. marts 2018: ’Datatilsynet: Ingen grund til at frygte bøderegn med Persondataforordningen’