Guide: Sådan skal Cyklistforbundets afdelinger håndtere persondata
Hvor længe må man opbevare medlemslister med mail og telefonnumre? Hvornår skal man bruge BCC-feltet, når man sender mail til medlemmer? Se det og mere i guiden.
Med EU's regler om beskyttelse af personlige data/persondataforordning, som trådte i kraft den 25. maj 2018 (GDPR-regler), blev kravene til håndtering af personlige data skærpet.
Persondata er fx mailadresser på medlemmer og navne og kontaktinfo på deltagere i vores kampagner og aktiviteter. Det er oplysninger, som er nødvendige for Cyklistforbundets virke. Men det er også oplysninger, som du ikke må opbevare, efter at du har brugt dem til dit formål (fx at udsende et nyhedsbrev).
Her finder du en oversigt over, hvad du må og skal i forbindelse med brug af persondata i Cyklistforbundets afdelinger. Har du yderligere spørgsmål, beder vi dig skrive til post@cyklistforbundet.dk.
Hvad er persondata?
Der er tale om persondata, når oplysninger kan føres tilbage til en bestemt person. Det kan være almindelige oplysninger som fx e-mailadresse eller telefonnummer. Det kan også være følsomme eller fortrolige oplysninger som sygdomsforløb, politisk tilhørsforhold, etnicitet mv. Følsomme og fortrolige persondata kræver ekstra god beskyttelse. Det er samtidig oplysninger, som vi ikke har behov for at registrere.
Når I modtager kopier af medlemsoplysninger her fra sekretariatet eller indsamler deltageroplysninger i forbindelse med arrangementer eller nyhedsbreve, er der tale om ikke-følsomme oplysninger.
Det betyder ikke, at vi kan se let på at beskytte disse oplysninger. Men kravene er mindre, end hvis det drejede sig om følsomme oplysninger.
Hvad må I – hvad skal I?
I kan altid få en opdateret medlemsliste fra sekretariatet med de oplysninger, I har brug for til et givent formål. Medlemslisten vil indeholde oplysninger nok til at opfylde formålet, men ikke persondata ud over det nødvendige.
Hvis formålet med medlemslisten er at vide, hvor mange medlemmer afdelingen har, så vil listen således ikke indeholde mailadresser. Hvis formålet er at udsende nyhedsbrev, så vil listen inkludere mailadresser.
I skal overholde følgende:
-
Hvis medlemslister deles internt, må det kun være i situationer, hvor det tjener det givne formål – for eksempel give listen med mailadresser til vedkommende, der skal sende nyhedsbrev ud.
-
Hvis du udsender mails til en større gruppe, fx alle medlemmer i afdelingen, SKAL du anvende BCC-feltet, som sikrer anonymitet blandt modtagerne.
-
Når I har brugt medlemslisten til det konkrete formål, skal den slettes. Dermed undgår I at opbevare persondata uden grund, og I vil altid kunne bede om en ny, opdateret medlemsliste, når der opstår behov for det.
-
I må ikke udlevere medlemslister til personer uden for Cyklistforbundet.
Anmeldelsespligt
Kontakt straks sekretariatet på post@cyklistforbundet.dk, hvis I tror, at uvedkommende har fået adgang til persondata fx ved tyveri af computer, da vi har pligt til at anmelde brud på datasikkerheden til Datatilsynet inden for 72 timer.
Generelle IT-råd, som I altid bør følge:
-
Sørg for at have kodeord på jeres computer/tablet
-
Virusprogrammerne på den computer, som I bruger til Cyklistforbundets arbejde, skal altid være opdaterede
-
Operativsystemet (Windows, MacOS mv) skal også være opdateret
-
Slå låseskærm til, så skærmen låst efter fx 5 minutter og kræver et password for at blive låst op
-
Undlad at gemme persondata på USB-sticks eller andre medier, som nemt bortkommer
-
Undlad at gemme persondata på gratis cloud-baserede løsning eller andre steder, hvor der kan være tvivl om, hvem der har adgang til data