Persondatapolitik
Hvad er persondata?
Persondata er enhver oplysning, der kan vise tilbage til en fysisk person, uagtet af hvem og i hvilken sammenhæng. Det kan være et navn, et medlemsnummer, et billede og meget andet. Hjerneskadeforeningen behandler hovedsageligt oplysninger, der normalt vil betragtes som værende almindelige personoplysninger. Oplysninger om sygdomme/skader er imidlertid af særlig følsom karakter. Derfor kan foreningens medlemsdata i visse sammenhænge som særligt følsomme personoplysninger, og behandling af disse er der særligt skærpede krav til.
Hjerneskadeforeningen som dataansvarlig
Hjerneskadeforeningen er dataansvarlig for vores medlemmers persondata. Der skelnes på dette område ikke mellem lokalafdelinger eller landskontoret. Det vil sige at den enkelt lokalafdeling er underlagt samme krav til behandling af persondata som landskontoret. Derfor skal vores lokalafdelingsformænd kende og overholde de politikker og procedurer, som er fastlagt i foreningen og beskrevet i dette dokument.
Hvad vil det sige at behandle persondata?
At behandle persondata omfatter enhver form for håndtering af andres oplysninger. Det dækker altså over alt lige fra at indsamle oplysninger, søge eller rette i oplysninger, slette dem, udsende mails til vedkommende, sende eller på anden måde videregive oplysninger. At opbevare data betragtes også som en behandling af persondata, uanset om informationerne opbevares på en computer eller som en printet liste.
Hvordan må vi behandle persondata?
Vi må behandle persondata til det formål, hvortil det er indsamlet.
Det betyder konkret, at vi må bruge vores medlemmers persondata til at administrere medlemskab og donationer, oplyse om og markedsføre foreningens aktiviteter, udføre undersøgelser, fundraise og tage anden kontakt som er relevant for foreningens arbejde.
Landskontoret opbevarer økonomiske oplysninger i fem år jf. regnskabsloven.
Fortrolighed
Det skal være muligt at være medlem af Hjerneskadeforeningen, uden at det kommer til offentlighedens kendskab ud over de nødvendige tillidsfolk i foreningen og hos visse relevante leverandører af services i forbindelse med foreningens arbejde. Medlemmernes oplysninger behandles derfor med fuld fortrolighed. Frabeder et medlem sig kontakt, skal dette efterleves. Ved henvendelse udefra, for eksempel fra journalister eller andre organisationer, oplyses aldrig, om en person er medlem eller ej, ligesom ingen andre oplysninger gives videre om medlemmet uden særligt samtykke fra medlemmet.
Sådan opbevarer vi persondata
Persondata opbevares sikkert, hvad enten det er i form af printede lister eller elektroniske filer eller optegnelser.
Sådan deler vi persondata, når det er nødvendigt
Persondata sendes sikkert enten via krypteret e-mail eller via sikker fildelingstjeneste. Et eksempel på nødvendig deling af persondata er, når der sendes en medlemsliste til en lokalafdelings formand.
Hvornår sletter vi persondata?
Når et medlem har meldt sig ud, har vi ikke længere hjemmel til at behandle og opbevare deres personlige oplysninger, undtagen de data, som vi lovmæssigt er forpligtet til i forhold til Regnskabsloven. Data, som har været opbevaret i lokalafdelingerne, slettes, så snart de modtager information om udmeldelse.
Opfyldelse af de registreredes rettigheder
Når vi som dataansvarlig behandler persondata, har de personer, hvis data vi behandler, en række rettigheder. De har ret til at få indsigt i den data, vi opbevarer om dem, de har ret til at få fejlbehæftede oplysninger rettet, og de har ret til at blive slettet. Dog skal vi i sidstnævnte tilfælde fortsat kunne efterleve øvrig lovgivning, såsom regnskabslovens krav om dokumentation. Et ønske om sletning vil svare til en udmeldelse af foreningen.
Brud på persondatasikkerheden
Sker der brud på datasikkerheden, har Hjerneskadeforeningen pligt til at undersøge bruddet og evt. underrette Datatilsynet inden 72 timer. Et brud på persondatasikkerheden er en hændelse der fører til at personoplysninger utilsigtet er blevet – eller er i fare for utilsigtet at blive – videregivet, slettet eller ændret, herunder hvis uvedkommende har opnået adgang til dem.
Databehandleraftaler og videregivelse af oplysninger
Når andre behandler persondata på den dataansvarliges vegne, skal der være en databehandleraftale mellem parterne. Et par eksempler herpå er det hostingfirma, som varetager opgaven med sikker elektronisk opbevaring af persondata, eller den service, der bruges til at udsende medlemsbladet med. Disse virksomheder opbevarer og behandler persondata på Hjerneskadeforeningens vegne. Hjerneskadeforeningen har databehandleraftaler med samarbejdspartnere, hvor det er nødvendigt.
Udsendelse af mails
Det et brud på datasikkerheden at sende en mail ud til mange modtagere, hvor modtagerne kan se hinandens navne og/eller e-mailadresser. Derfor er alle ansatte og frivillige i Hjerneskadeforeningen instrueret i, at ved udsendelse af mails til flere medlemmer skal BCC-feltet, og ikke til-, eller CC-feltet, anvendes.
Brug af billeder
Et billede af en person kan også udgøre et stykke persondata. Her skelnes mellem to typer af billeder: portrætter og situationsbilleder. Det kræver samtykke at offentliggøre eller videregive portrætbilleder. Ved anvendelse af portrætbilleder, skal være samtykke fra vedkommende, som er på billedet. Det kræver ikke samtykke at offentliggøre situationsbilleder, for eksempel billeder fra et arrangement. Vi laver dog altid en helhedsvurdering af billedets karakter, således at ingen føler sig udstillet eller krænket, ligesom vi tilstræber altid at spørge åbent i forsamlingen, inden vi fotograferer ved et arrangement. Så vidt det er muligt, vil vi altid fjerne et foto, såfremt der bliver bedt om det.
Læs evt. mere om brug af billeder her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/billeder-paa-internettet
Brug af navne i for eksempel mødereferater
Hjerneskadeforeningen er opmærksom på, om der er personlige oplysninger i de dokumenter, vi offentliggør. Vi tilstræber at anonymisere personlige oplysninger i mødereferater.
Version 2.1 – 9. oktober, 2024 – ML/st.
