GDPR: Fortegnelser

Værd at vide om GDPR for menighedsråd – Nyhed 9

Her er den niende nyhedsartikel med viden og praktiske tips til hvordan I konkret kan leve op til reglerne. 

Indhold denne gang:

• Fortegnelser
• Fortegnelser på DAP

Fortegnelser
Et menighedsråd har pligt til at lave fortegnelser over sine behandlingsaktiviteter. Formålet med fortegnelsen er at dokumentere de overvejelser, som menighedsrådet skal foretage sig i forhold til at databeskyttelsesforordningens regler overholdes.

Fortegnelser skal foreligge skriftligt og elektronisk. Det betyder, at menighedsrådet ikke udelukkende må føre fortegnelsen i et fysisk dokument eller efter hukommelsen. Der stilles ikke herudover krav til fortegnelsens format. Menighedsrådet vil således kunne føre fortegnelsen i et skema eller i et almindeligt tekstbehandlingsdokument.

Fortegnelser er et internt dokument, og skal kun efter anmodning udleveres til Datatilsynet.

Gennemgå og opdater jeres fortegnelser på et menighedsrådsmøde en gang om året.

Se tekstskabelon til fortegnelser, her.

Indhold i en fortegnelse (minimumskrav)
Fortegnelsen skal omfatte al behandlingsaktivitet uanset personoplysningernes karakter.

• Menighedsrådets navn og kontaktoplysninger, herunder andre aktører, hvis der fx er fælles dataansvar.
• Samtlige formål med behandlingsaktiviteter under menighedsrådets ansvar. Flere behandlingsaktiviteter kan samles i én fortegnelse, hvis der fx er tale om den samme opgave eller det samme lovgrundlag for behandlingerne. Menighedsrådene kan fx samle oplysninger om sognepleje, personaleadministration, kontraktsforhold eller gravstedsadministration i hver sin fortegnelse. Det skal fremgå hvilke udtrykkeligt angivne og saglige formål en behandling af personoplysninger sker efter.
• Kategorier af registrerede afhænger af hvilken fortegnelse, der er tale om. Hvis det fx er fortegnelsen for personaleadministration, så kan registrerede fx være: ansøgere, nuværende og tidligere ansatte, pårørende, børn og unge under 18 år.
• Kategorier af personoplysninger kræver, at menighedsrådet som minimum kan anføre om der fx er tale om en almindelig oplysning eller en følsom oplysning. Se mere om kategorier af personoplysninger i Værd at vide om GDPR for menighedsråd afsnit 2 på hjemmesiden. Hvis der behandles følsomme oplysninger, skal det specificeres nærmere hvilke oplysninger der behandles.
• Kategorier af modtagere ved videregivelse samt hvilke oplysninger, der gives til hvilke modtagere. Det kan fx være SKAT (identifikationsoplysninger, løn, personnummer), PBS (identifikationsoplysninger, personnummer) eller pensionskasser (identifikationsoplysninger, stilling og tjenestested, pensionsforhold, lønforhold).
• Overførsler til tredjelande og internationale organisationer – kan fx være hvis menighedsrådet bruger MailChimp til udsendelse af nyhedsbreve
• Hvis det er muligt, skal slettefrister fremgå (se Værd at vide om GDPR for menighedsråd afsnit 5 på hjemmesiden samt nyhed 5)
• Tekniske og organisatoriske foranstaltninger skal beskrives generelt (se Værd at vide om GDPR for menighedsråd afsnit 5 på hjemmesiden).

Fortegnelser på DAP
Der er udarbejdet flere fortegnelser for menighedsrådene, som er tilgængelige på DAP (se Grupperum➡ Databeskyttelse➡Fortegnelser). Der er bl.a. fortegnelser for personaleadministration, lønadministration, sagsbehandling, kommunikation mv.

Undersøg derfor først, om der allerede er en fortegnelse som dækker menighedsrådets behandling, inden menighedsrådet udarbejder egen fortegnelse.

Link til vejledning
Landsforeningen har lavet en samlet Værd at vide om GDPR for menighedsråd. Denne vejledning samler al information fra nyhedsbrevene, samt yderligere viden om GDPR.

Se Landsforeningens Værd at vide om GDPR for menighedsråd her, som er opdateret i april 2022.