Behandling af personoplysninger i IDA - FAQ

Information samt spørgsmål og svar vedr. personoplysninger. Vi har samlet et uddrag fra Datatilsynets notat vedr Databeskyttelsesordningen, oktober 2017.

Følsomme personoplysninger

Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Det er kun de oplysninger, der er nævnt her, der anses for følsomme oplysninger i forordningen.

Almindelige personoplysninger

De personoplysning, der ikke falder ind under kategorien ”følsomme personoplysninger”, kan kaldes ”almindelige personoplysninger. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger.

Betydning i IDA: Hvis en person står omtalt som medlem af IDA er det en følsom oplysning, da det fortæller om personens fagforeningsmæssige tilhørsforhold.

1. Hvornår skal vi kryptere dokumenter, når vi sender dem pr mail?

Svar: Når dokumenterne indeholder følsomme personoplysninger. Indeholder dokumentet almindelige personoplysninger er det fortsat god stil at kryptere.

Datatilsynet skriver: ”Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle
den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt.”

2. Hvordan kan et dokument krypteres inden afsendelse?

Svar: Det er god stil at kryptere alle dokumenter med følsomme persondata og persondata i større omfang (medlemslister)

I Office-programmerne gøres det under menuen Filer.

Koden til dokumentet skal sendes separat og via et andet medie, f.eks. sms eller messenger.

3. Hvad er udtrykkeligt samtykke, og hvordan sikrer vi, at vi har det?

Når en person har afgivet et samtykke, som er utvetydigt og de har mulighed for at trække det tilbage. Samtykket skal være let tilgængeligt og forståeligt. Man sikrer bedst et samtykke ved at få det skriftligt eller elektronisk. Et mundtligt samtykke er også gyldigt, men sværere at bevise senere.

4. Må vi i bestyrelsen sende referater fra vores bestyrelsesmøder/generalforsamlinger til hinanden i bestyrelsen og netværkskoordinatoren uden at kryptere?

Svar: Særligt hvis dokumentet indeholder følsomme personoplysninger, skal det krypteres. Indeholder dokumentet almindelige personoplysninger kan I vurdere om en kryptering er nødvendig i forhold til om oplysningerne kan misbruges, jf Datatilsynets anvisning som står under punkt 1.

4a – Når vi sender mails til bestyrelsesmedlemmer, både vores egen bestyrelse eller andre aktive, skal alle modtagere så sættes i bcc-feltet?

Det behøver de ikke. Alle aktive har, gennem deres valg til bestyrelsen, indvilget i, at være synlige for medlemmer på ida.dk. Derfor er det kun hvis der er en 3. part med på mailen, fx en oplægsholder, at du skal sætte alle e-mails i bcc-feltet.

Det handler om, om indholdet af mailen indikerer fagforeningsmæssige tilhørsforhold. Hvis ja, så sæt altid alle modtagere bcc. På den måde, er du sikker på, at du ikke videregiver en følsom personoplysning, her i form af en mailadresse, til en 3. part.

4b – Må vi sende en mail til deltagere/IDA-medlemmer?

Du må gerne sende en mail til deltagerne på et arrangement, men kun hvis indholdet du sender, omhandler arrangementet. Her skal e-mails altid sættes i bcc-feltet, uden undtagelse.

Du kan finde bcc-feltet ved at åbne en ny mail-besked, vælge fanen indstillinger og klikke feltet BCC til.

5. Facebook, instagram og hjemmesider. Hvilke informationer og billeder må man ikke ligge der uden samtykke fra personen?

Man må ikke publicere billeder af en person eller oplysninger om en person uden samtykke.

6. Interne deltagerlister med tlf. nr. og mail adresse. Skal den krypteres, når den sendes ud til bestyrelsesmedlemmer eller samarbejdspartnere?

Svar: Det vil være god stil og det vil sikre et tilpas sikkerhedsniveau i forhold til at undgå at persondata falder i forkerte hænder.

Se i øvrigt punktet 'Deltagerlister' i aktivguiden, hvem du må dele, både den interne og eksterne, deltagerlisterne med. 

7. Skal der stå noget på arrangementet, hvis data om deltagere videregives til samarbejdspartner?

Svar: Ja, der skal stå tydeligt hvilke oplysninger som videregives, til præcis hvem og til hvilket formål. Der skal stå, at når man tilmelder sig arrangementet, giver man samtykke til denne videregivelse. Hvis videregivelsen af oplysningerne er nødvendige for arrangements afholdelse, skal der skal stå, at hvis man trækker samtykket tilbage vil det betyde, at man bliver afmeldt arrangementet.

Du kan bruge nedenstående tekst til samarbejdsarrangementer:

Videregivelse af personoplysninger til ”Firmanavn”

Deltagerlisten til dette arrangement bliver videregivet til ”Firmanavn”, da det er nødvendigt for afvikling af arrangementet. Deltagerlisten indeholder dit navn, xxx, xxx, hvis det er oplyst ved tilmeldingen. Oplysningerne anvendes alene ved dette arrangement. Hvis du afmelder dig arrangementet, vil oplysningerne ikke blive videregivet.

8. Må navneskilte og deltagerlister ligge fremme?

Svar: Ja, IDA oplyser ved tilmeldingen til arrangementer at der udleveres navneskilte og deltagerliste med oplysning om navn og evt. firma. Deltagere kan kontakte IDA, hvis firmanavnet ikke ønskes anført.

Denne tekst er påført IDAs handelsbetingelser:

Vigtig oplysning vedr. persondata på deltagerlister

Dit navn, titel og firma vil optræde på deltagerlisten til dette arrangement. Deltagerlisten er tilgængelig for arrangørerne og de øvrige deltagere på selve arrangementet i form af en fysisk deltagerliste og online deltagerliste. Ved nogle arrangementer udleveres endvidere navneskilt, hvor dit navn, titel og firma fremgår. Hvis du afmelder dig arrangementet, vil dine oplysninger ikke fremgå af deltagerlisten.

9. Må deltagerlister ligge tilgængeligt online?

Svar: Ja, for øvrige deltagere, men ikke for offentligheden som udgangspunkt

10. Er der forskel på arrangementer som er åbne for alle og kun for IDA medlemmer?

Svar: IDA anfører ikke medlemsstatus på deltagerlister, så der er ikke forskel på listerne.
Hvis det er et arrangement, hvor der kun deltager IDA medlemmer samt evt. ledsagere, vil man i princippet kunne udlede at personerne på deltagerlisten er medlem af IDA. Deltagerlister for sådan et arrangement, hvor der samtidigt står at det er forbeholdt IDA medlemmer må ikke ligge online tilgængeligt for offentligheden.

11. Hvor kan jeg se mine egne data og styre, hvad der vises på den offentlige udvalgsliste?

Svar: På https://mit.ida.dk/min-profil kan du se og redigere dine oplysninger og se de samtykker, som du har afgivet.

12. Må jeg anvende Dropbox eller anden privat delingstjeneste?

Svar: Ja, hvis der ikke ligger persondata, der stammer fra IDA heriblandt deltagerlister. Har I aftalt i bestyrelsen, at I anvender en delingstjeneste, så kan I godt dele referater og andre dokumenter fra bestyrelsesarbejdet.