Persondatapolitik. Motiv: grønt motherboard

Persondatapolitik

Hvad er persondata?

Persondata er enhver oplysning, der kan vise tilbage til en fysisk person, uagtet af hvem og i hvilken sammenhæng. Det kan være et navn, et medlemsnummer, et billede og meget andet. Hjerneskadeforeningen behandler hovedsageligt oplysninger, der normalt vil betragtes som værende almindelige personoplysninger. Oplysninger om sygdomme/skader er imidlertid af særlig følsom karakter. Derfor betragtes foreningens medlemsdata i visse sammenhænge som særligt følsomme personoplysninger, og behandling af disse er der særligt skærpede krav til.

Hjerneskadeforeningen som dataansvarlig

Hjerneskadeforeningen er dataansvarlig for vores medlemmers persondata. Der skelnes på dette område ikke mellem lokalafdelinger eller landskontoret. Det vil at den enkelt lokalafdeling er underlagt samme krav til behandling af persondata som landskontoret. Derfor skal vores lokalafdelingsformænd kende og overholde de politikker og procedurer, som er fastlagt i foreningen og beskrevet i dette dokument.

Hvad vil det sige at behandle persondata?

At behandle persondata omfatter enhver form for håndtering af andres oplysninger. Det dækker altså over alt lige fra at indsamle oplysninger, søge eller rette i oplysninger, slette dem, udsende mails til vedkommende, sende eller på anden måde videregive oplysninger. At opbevare data betragtes også som en behandling af persondata, uanset om informationerne opbevares på en computer eller som en printet liste.

Hvordan må vi behandle persondata?

Vi må behandle persondata til det formål, hvortil det er indsamlet. Hjerneskadeforeningen behandler persondata på baggrund af indmeldelse og betaling af kontingent. Vi indsamler ikke særskilt samtykke og må derfor ikke behandle medlemsdata uden for det angivne formål.

Det betyder konkret, at vi må bruge vores medlemmers persondata til at inddrage dem i foreningens arbejde, sikre dem indflydelse og oplyse dem om deres muligheder i foreningen, om arrangementer, vedtagelser, aktiviteter og så videre. Vi må selvfølgelig også tage kontakt til medlemmer for at administrere deres medlemskab i forbindelse med kontingent og lignende.

Det betyder også, at vi ikke må sende medlemmerne tilbud fra andre organisationer eller virksomheder eller videregive deres oplysninger til en anden aktør.

At vi må behandle data til det formål, det er indsamlet til, betyder samtidig at så snart formålet ikke længere er legitimt, må vi ikke længere behandle personoplysningerne.

I forbindelse med udmeldelse må vi ikke længere opbevare eller på anden måde behandle det nu tidligere medlems persondata. Landskontoret opbevarer økonomiske oplysninger i fem år jf. regnskabsloven, men vi må ikke tage kontakt til tidligere medlemmer eller på anden vis behandle deres data, medmindre de giver særskilt samtykke til dette.

Fortrolighed

Det skal være muligt at være medlem af Hjerneskadeforeningen, uden at det kommer til nogens kendskab ud over de nødvendige tillidsfolk i foreningen. Medlemmernes oplysninger behandles derfor med fuld fortrolighed. Oplysningerne anvendes udelukkende i forbindelse med foreningens arbejde i det pågældende lokalafdeling samt i landskontorets arbejde. Frabeder et medlem sig kontakt, skal dette efterleves. Ved henvendelse udefra, for eksempel fra journalister eller andre organisationer, oplyses aldrig, om en person er medlem eller ej, ligesom ingen andre oplysninger gives videre om medlemmet.

Sådan opbevarer vi persondata

Persondata opbevares sikkert og bag lås og slå, hvad enten det er i form af printede lister eller elektroniske filer eller optegnelser. Data, som findes digitalt, opbevares sikkert og krypteret, således at ingen andre kan åbne filerne. Husk også at slette den fra din computeren og computerens papirkurv. Papirkurve i indbakke og på computere slettes hver dag.

Sådan deler vi persondata, når det er nødvendigt

Persondata sendes sikkert enten via krypteret e-mail eller via sikker fildelingstjeneste. Et eksempel på nødvendig deling af persondata er, når der sendes en medlemsliste til en lokalafdelings formand.

Hvornår sletter vi persondata?

Når et medlem har meldt sig ud, har vi ikke længere hjemmel til at behandle og dermed også opbevare deres personlige oplysninger, undtagen de data, som vi lovmæssigt er forpligtet til i forhold til Regnskabsloven. Data, som har været opbevaret i lokalafdelingerne, slettes, så snart de modtager information om udmeldelse.

Opfyldelse af de registreredes rettigheder

Når vi som dataansvarlig behandler persondata, har de personer, hvis data vi behandler, en række rettigheder. De har ret til at få indsigt i den data, vi opbevarer om dem, de har ret til at få fejlbehæftede oplysninger rettet, og de har ret til at blive slettet. Dog skal vi i sidstnævnte tilfælde fortsat kunne efterleve øvrig lovgivning, såsom regnskabslovens krav om dokumentation. Et ønske om sletning vil svare til en udmeldelse af foreningen.

Brud på persondatasikkerheden

Sker der brud på datasikkerheden, har Hjerneskadeforeningen pligt til at undersøge bruddet og evt. underrette Datatilsynet inden 72 timer. Et brud på sikkerheden sker, hvis persondata bevidst eller ubevist ændres, slettes, på anden måde går til hænde, eller hvis uvedkommende har opnået adgang til dem.

Databehandleraftaler og videregivelse af oplysninger

Når andre behandler persondata på den dataansvarliges vegne, skal der være en databehandleraftale mellem parterne. Et par eksempler herpå er det hostingfirma, som varetager opgaven med sikker elektronisk opbevaring af persondata, eller den service, der bruges til at udsende medlemsbladet med. Disse virksomheder opbevarer og behandler persondata på Hjerneskadeforeningens vegne. Hjerneskadeforeningen har databehandleraftaler med samarbejdspartnere, hvor det er nødvendigt.

Udsendelse af mails

Det et brud på datasikkerheden at sende en mail ud til mange modtagere, hvor modtagerne kan se hinandens navne og/eller e-mailadresser. Derfor er alle ansatte og frivillige i Hjerneskadeforeningen instrueret i, at ved udsendelse af mails til flere medlemmer skal BCC-feltet, og ikke til-, eller CC-feltet, anvendes.

Brug af billeder

Et billede af en person kan også udgøre et stykke persondata. Her skelnes mellem to typer af billeder: portrætter og situationsbilleder. Det kræver samtykke at offentliggøre eller videregive portrætbilleder. Ved anvendelse af portrætbilleder, skal være samtykke fra vedkommende, som er på billedet. Det kræver ikke samtykke at offentliggøre situationsbilleder, for eksempel billeder fra et arrangement. Vi laver dog altid en helhedsvurdering af billedets karakter, således at ingen føler sig udstillet eller krænket, ligesom vi tilstræber altid at spørge åbent i forsamlingen, inden vi fotograferer ved et arrangement. Så vidt det er muligt, vil vi altid fjerne et foto, såfremt der bliver bedt om det.

Læs evt. mere om brug af billeder her: 
https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/billeder-paa-internettet

Brug af navne i for eksempel mødereferater

Hjerneskadeforeningen er opmærksom på, om der er personlige oplysninger i de dokumenter, vi offentliggør. Så vidt det er muligt, anonymiserer vi deltagernes oplysninger i mødereferater.

Version 2.0 – 25. maj, 2018 – ML/st.

Motiv: Tastatur med Hjerneskadeforeningens logo på Enter-knappen

Formål og vedtægter >

Kontakt. Motiv: lyserød kuvert

Kontakt os >