25. JANUAR 2023
GDPR: Kortlægning af personoplysninger
Menighedsrådet skal som dataansvarlig håndtere persondata rigtigt. Her kan du lære mere om, hvordan I kortlægger de personoplysninger, I indhenter, behandler, beskytter og sletter.
Illustration: Colourbox
Af: Arbejdsgiver og Rådgivning, Red. Camilla Folsach Madsen
Værd at vide om GDPR for menighedsråd – Nyhed 12
Klarhed over personoplysninger
Når menighedsrådet behandler personoplysninger, kan det være en fordel at starte med at få overblik over, præcis hvilke oplysninger, der behandles, hvorfor oplysninger behandles, og hvordan de behandles. Dette overblik kaldes også en kortlægning.
For at lave kortlægningen skal menighedsrådet starte med at undersøge hvilke oplysninger, der behandles. Er det almindelige personoplysninger som fx navn, mailadresse eller telefonnummer? Er det følsomme personoplysninger som fx helbredsoplysninger eller trosforhold?
Det skal også gøres klart hvorfor personoplysningerne behandles. At det fx er nødvendigt med navn, mailadresse og telefonnummer på deltagere i et arrangement, så de kan kontaktes med nærmere information om arrangementet. Og det er nødvendigt at behandle oplysninger om allergener, så en deltager får den rette forplejning.
Hvorfor personoplysningerne behandles, skal kobles op på formålet med at, personoplysningerne behandles. Til sognepleje, gravstedsadministration, henvendelser til menighedsrådet eller kirkekontoret, leverandører mv.
Afslutningsvist skal menighedsrådet klarlægge hvordan personoplysningerne behandles og opbevares. Er det på mail, et arkivsystem el.lign.? Og hvor længe bliver oplysningerne opbevaret, inden de slettes.
Dvs. menighedsrådet skal vide præcis, hvornår og hvorfor der behandles personoplysninger, og hvordan personoplysningerne behandles, opbevares og slettes.
Juraen
Når det er afklaret hvilke personoplysninger der behandles, og hvad formålet er med at behandle personoplysningerne, skal juraen kobles på.
Her skal det gøres klart, at almindelige personoplysninger er artikel 6-oplysninger, mens følsomme personoplysninger er artikel 9-oplysninger.
Samtidig skal formålet med behandling af oplysningerne fremgå. Størstedelen af menighedsrådets behandlinger vil være myndighedsudøvelse (fx gravstedsadministration) eller sognepleje (alle jeres aktiviteter for menigheden). Formålet med jeres behandling af personoplysninger er dermed en opgave i samfundet interesse eller offentlig myndighedsudøvelse (artikel 6, litra e). Det kan fx også være et kontraktforhold (artikel 6, litra b).
Se mere i vores GDPR-vejledning, som findes i boksen på vores GDPR-hjemmeside.