Forening: Persondatapolitik (interne retningslinjer om persondata)

DKK449,00

Alle foreninger skal dokumentere, hvordan persondata håndteres internt i foreningen. Det følger blandt andet af Persondataforordningens Artikel 5, 6 og 7.

Foreningen skal derfor kunne fremvise skriftligt for Datatilsynet, hvordan foreningen har overvejet, at der f.eks. ikke indsamles flere persondata end højst nødvendigt og på hvilket grundlag, dataene indsamles og behandles.

Hvis foreningen ikke kan dokumentere sin håndtering af persondata, er det ensbetydende med, at foreningen ikke overholder reglerne. Du kan læse om sanktionerne og bøderne HER.

Inkluderet i persondatapolitikken er de tekster, som foreningen har brug for overfor medlemmer, således at medlemmer også er orienteret korrekt om deres lovpligtige rettigheder.

LÆS YDERLIGERE BESKRIVELSE NEDENFOR

Varenummer (SKU): 002-1 Kategori:

Beskrivelse

Dokumentet indeholder forslag og muligheder til relevante retningslinjer, der er behov for i foreninger. Det gør det nemt at tilrette til foreningens konkrete forhold.

Blandt andet indeholder dokumentet retningslinjer om:

  • Hvordan foreningen generelt skal håndtere persondata
  • Slettepolitikker for medlemmer, leverandører og medarbejdere
  • Hvilket grundlag persondataene behandles på
  • Plan for løbende gennemgang af procedurer
  • Foreningens interne fordeling af ansvaret for persondatahåndtering

Artikel 5

Principper for behandling af personoplysninger

  1. Personoplysninger skal:
  2. a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
  3. b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
  4. c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
  5. d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
  6. e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
  7. f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
  8. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

Artikel 6

Lovlig behandling

  1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
  2. a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
  3. b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
  4. c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
  5. d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
  6. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
  7. f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

  1. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.
  2. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
  3. a) EU-retten, eller
  4. b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.
  5. Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindelig blev indsamlet til, bl.a. hensyn til følgende:
  6. a) enhver forbindelse mellem det formål, som personoplysningerne er indsamlet til, og formålet med den påtænkte viderebehandling
  7. b) den sammenhæng, hvori personoplysningerne er blevet indsamlet, navnlig med hensyn til forholdet mellem den registrerede og den dataansvarlige
  8. c) personoplysningernes art, navnlig om særlige kategorier af personoplysninger behandles, jf. artikel 9, eller om personoplysninger vedrørende straffedomme og lovovertrædelser behandles, jf. artikel 10
  9. d) den påtænkte viderebehandlings mulige konsekvenser for de registrerede
  10. e) tilstedeværelse af fornødne garantier, som kan omfatte kryptering eller pseudonymisering.

Artikel 7

Betingelser for samtykke

  1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
  2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende
  3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.
  4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt