Generelt
Husk fortegnelser på egne it-systemer
En fortegnelse beskriver, hvordan man som dataansvarlig behandler personoplysninger i de systemer, man anvender til behandling af personoplysninger. Efter persondataloven er trådt i kraft, er det et krav, at man har udarbejdet fortegnelser for de systemer, man anvender.

Kirkeministeriet har allerede udarbejdet fortegnelser for de systemer, som ministeriet stiller til rådighed via Kirkenettet, herunder Den digitale arbejdsplads (DAP) og FLØS, så for de systemers vedkommende opfylder I allerede forpligtelsen. På DAP er der i "Grupperum" en oversigt over, hvilke fortegnelser ministeriet har udarbejdet, og hvilke der er på vej. 

Anderledes forholder det sig med de systemer, som I selv anskaffer, fx en kalender eller et kommunikationssystem. I skal blandt andet beskrive formålet med systemet, hvilke oplysninger systemet behandler og sikkerhedsforanstaltninger. I "Grupperum" under "Fortegnelser" kan I finde en skabelon, som I kan tage udgangspunkt i, når I skal udforme jeres egne fortegnelser. 

Skal man have en privatlivspolitik?
Ja. Man skal udarbejde en cookie- og privatlivspolitik, hvor man beskriver, hvordan man behandler data fra de brugere, der besøger kirkens hjemmeside. Se et eksempel på Kirkeministeriets cookie- og privatlivspolitik.

Politikken skal ligge på kirkens hjemmeside.

Må man offentliggøre billeder fra kirkerne?
Datatilsynet har nu besvaret vores spørgsmål, om man må offentliggøre billeder af personer, der deltager i gudstjenester og kirkelige handlinger. Svaret er, at det må man gerne, da deltagelsen i en gudstjeneste ikke umiddelbart fortæller noget om ens religiøse tilhørsforhold. Tilsvarende gælder for koncerter, foredrag og arrangementer, der foregår i kirkeligt regi.

Derimod må man ikke offentliggøre billeder af vielser, dåb og begravelser, med mindre man har samtykke dertil, da disse begivenheder netop kan sige noget om de pågældendes religiøse tilhørsforhold.

Vær i den forbindelse opmærksom på, at offentliggørelse af billeder af medarbejdere kræver samtykke fra disse.

Skal man bede modtagere af kirkens nyhedsbrev om at tilmelde sig igen?
Måske. Generelt skal man sikre sig, at tilmeldte aktivt har bedt om at modtage jeres nyhedsbrev. Dvs. at gentilmelding ikke er nødvendig, hvis man har indsamlet tilmeldingerne via Mailchimp eller et lignende nyhedsbrevsystem. Hvis man derimod har indsamlet dem mere tilfældigt, selv har tilføjet modtagere, eller listen ligger som en løs fil på ens computer, bør man indsamle samtykkeerklæringer.

Man skal informere om, at modtagere af nyhedsbreve har ret til nemt og gratis at afmelde sig nyhedsbrevet.

Hvordan kommunikerer man sikkert med eksterne parter?
Når man sender personoplysninger, skal man sørge for, at de mails, man sender frem og tilbage, er sendt forsvarligt.

Mails med personoplysninger til og fra Landsforeningen skal eksempelvis sendes via Den Digitale Arbejdsplads. På samme måde skal man sikre sig, at fx en regnskabsfører bruger et mailsystem, der er tilstrækkelig sikkert. Der findes flere leverandører på markedet, der tilbyder sikre e-mail løsninger.

Hvad skal man spørge om ved tilmeldinger til fx babysalmesang og arrangementer?
Man må spørge om ting, man har brug for at vide i forhold til arrangementet - og ikke mere. 

Må man offentliggøre navne på døbte, konfirmerede, viede og døde i kirkebladet?
Tro er en personfølsom oplysning, og derfor skal man passe ekstra godt på den. Dvs. at man ikke må offentliggøre navne i kirkebladet og på sognets hjemmeside eller hjemmesider uden samtykke. For konfirmander gælder det, at det er forældrene, der skal give samtykket.

Må man læse navne op til allehelgensgudstjenesten?
Ja, hvis de afdøde var medlemmer af folkekirken. Læs mere om reglerne her – kræver DAP-login.

Kan vi som menighedsrådsmedlemmer sende sikker post via DAP’ens mailsystem?
Ja, I kan sende sikkert til sogn.dk-, og km.dk-mails, for Folkekirkens IT tilbyder en løsning med personlig post og kalender netop via DAP’en. 

Når man er logget på DAP’en og trykker på "Forside" finder man under ”Supportforum/Hjælp til menighedsrådet/Personlig post og kalender”, en beskrivelse af ordningen. Man skal betale et beløb for ordningen, 180 kr. pr. år pr. postkasse.

 Link til ordningen https://support.kirkenettet.dk/#/support/204/381

Vær opmærksom på, at man aldrig kan sende sikkert til private mailkonti fra fx hotmail, yahoo, gmail, yousee mv.

Skal et samtykke gives skriftligt?
Nej, det er ikke et krav at samtykke gives skriftligt. Det kan dog være svært at bevise, at der er givet samtykke, hvis det ikke er på skrift, hvorfor vi anbefaler skriftligt samtykke.

Er det tilstrækkeligt, at oplysninger om hvordan menighedsrådet behandler personoplysninger ligger på hjemmesiden?
Nej. Menighedsrådet har oplysningspligten, og man kan ikke bede den registrerede om selv at finde den.

Vedrørende medarbejdere
Hvor længe må man opbevare personoplysninger?
Generelt må personoplysninger opbevares i det tidsrum, oplysningerne er nødvendige til at opfylde de formål, som de oprindelig blev indsamlet til.

Det betyder, at man skal vurdere konkret, hvor længe en oplysning opbevares. Desuden stiller lovgivningen i visse tilfælde krav om, hvor længe personoplysninger skal opbevares.

For personalemapper på fratrådte medarbejdere gælder det, at de må opbevares i 5 år efter ansættelsesforholdets ophør. Bogføringsmateriale – herunder lønsedler, pension, kørselsgodtgørelse, dokumentation for udlæg, mv. må gemmes i 5 år fra udløbet af det pågældende regnskabsår.

Skal man have samtykke fra medarbejdere til at behandle deres data?
Nej, Der kræves ikke samtykke til at behandle personoplysninger om jeres medarbejdere i forbindelse med ansættelsesforholdet.

Må vi indhente børneattester på alle medarbejdere (og frivillige)?
Nej, der må kun indhentes nødvendige oplysninger. Dvs. der må kun indhentes børneattester på de medarbejdere (og frivillige), som er i kontakt med børn som led i deres arbejde. Se vejledning på DAP her – kræver DAP-login.

Må man offentliggøre fotos af medarbejdere?
Det kræver samtykke at offentliggøre fotos af medarbejdere på kirkens hjemmeside.

Må menighedsrådet oplyse medarbejderes navne, arbejdsområde og arbejdsmæssige kontaktoplysninger på sogn.dk og deres hjemmeside uden samtykke?
Ja. Dog kræver oplysninger om privattelefonnummer eller privatadresse samtykke.

Jobansøgninger på mail er ok
Datatilsynet oplyser, på deres hjemmeside, at der er ikke problemer i at modtage ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger (hvilket de sjældent gør), men man skal selvfølgelig håndtere ansøgningerne forsvarligt, når først man har modtaget dem.

Vi anbefaler, at I i forbindelse med stillingsopslag oplyser sognets officielle e-mailadresse. Når I har modtaget ansøgningerne, anbefaler vi, at I lægger dem i arkivet på DAP’en, så de medlemmer af rådet, der skal deltage i ansættelsesudvalg, kan hente dem der.

Gælder reglerne om databeskyttelse når menighedsrådet indhenter referencer på ansøgere?
Ja, og ansøger skal give samtykke til at der indhentes referencer. Ansøger skal vide hvilke oplysninger der indhentes, om det er almindelige eller følsomme.

Skal ansøgninger fra ansøgere der har fået afslag slettes straks?
Nej. Når ansættelsesprocessen er færdig, er udgangspunktet, at ansøgninger slettes. Menighedsrådet kan komme i en situation, hvor det kan være nødvendigt at skulle kunne dokumentere et konkret rekrutteringsforløb, fx ved indsigelse om forskelsbehandling. Menighedsrådet skal dog konkret vurdere, om der er behov for at opbevare oplysninger om ansøgere.
Menighedsrådet kan opbevare oplysninger med henblik på senere ansættelse, hvis ansøger giver samtykke hertil.

En medarbejder vil have indsigt i de personoplysninger menighedsrådet har. Er det tilstrækkeligt at oplyse, at vi har ”navn, adresse og at du er organiseret i en fagforening”?
Nej. Menighedsrådet skal oplyse de konkrete oplysninger, så medarbejderen har mulighed for at vurdere, om oplysningerne er korrekte. Menighedsrådet bør i øvrigt ikke registrere fagforeningsforhold, medmindre det er nødvendigt, fx fordi medarbejderen er tillidsrepræsentant.

Hvordan skal MUS dokumenteres og opbevares?
Menighedsrådet er forpligtet til at afholde MUS for alle ansatte. Der skal udarbejdes en udviklingsplan, som opbevares i medarbejderens personalemappe.

Må menighedsrådet orientere de øvrige medarbejdere om, at en medarbejder er blevet opsagt?
Ja, men man må ikke oplyse baggrunden for afskedigelsen.

Skal en fratrådt medarbejders e-mail lukkes senest en måned efter fratrædelsen?
Nej. Når en medarbejder er fratrådt og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e-mailkontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. I forbindelse med fratrædelsen bør der indsættes et autosvar med besked om medarbejderens fratræden og eventuel anden relevant information. Den aktive e-mailkonto må kun benyttes til modtagelse af e-mails. Hvis der modtages private emails, kan e-mailkontoen dog benyttes til at videresende disse til den fratrådte medarbejders private e-mailkonto. Eventuelle oplysninger om en direkte e-mailadresse til den pågældende bør hurtigst muligt fjernes fra arbejdspladsens hjemmeside og fra andre offentligt tilgængelige informationssteder. Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders e-mailkonto.

Må menighedsrådet give personoplysninger videre til andre? (hvilke oplysninger, om hvem, til hvem?)
Ja, menighedsrådet må give personaleoplysninger videre, hvis der er hjemmel hertil. Der er lovhjemmel til, at menighedsrådet må give personoplysninger til SKAT eller til kommunen i forbindelse med en refusionssag. Derudover er der hjemmel i overenskomsterne til at give personoplysninger til de forhandlingsberettigede organisationer (i forbindelse med lønforhandlinger eller personalesager) og til pensionsselskaberne.

Er der flere vejledninger?

Ja. Datatilsynet har lavet en vejledning på personaleområdet, som kan findes her. 

 

Tilmeld dig nyhedsbrevet

* krævede felter