MaterialerGDPR

GDPR står for General Data Protection Regulation og er en lovgivning, som er indført af EU. I Danmark kaldes GDPR også for Persondataforordningen. 

GDPR udspringer af retten til privatlivets fred. De regler og råd, du finder her på siden, er udarbejdet af Red Barnets juridiske afdeling. Man kan nemlig ikke vide, om ens privatliv bliver krænket, hvis man ikke ved, at der er nogen, som behandler ens persondata. Derudover kan man ikke beskytte sine rettigheder, hvis ikke ens personoplysninger bliver tilstrækkeligt sikret og beskyttet.

Derfor er det vigtigt, at al planlægning, kommunikation og tilmelding overholder GDPR-reglerne. I bør have for øje, at indhentning af personoplysninger altid skal begrænses til de absolut nødvendige oplysninger til formålet.


I skal derfor tage stilling til, hvilke oplysninger I indhenter, hvad I skal bruge dem til, hvor og hvordan de lagres og beskyttes, samt hvem I deler personoplysningerne med. Det er jeres organisations eller forenings ansvar, at GDPR-reglerne overholdes, og at reglerne formidles til og følges af alle frivillige og medarbejdere hos jer.

Hvis I ikke overholder GDPR, bryder I ganske enkelt loven. Det er derfor en god idé at udpege en særlig dataansvarlig medarbejder (typisk en leder eller kasserer), der har det overordnede ansvar for, at I overholder GDPR.

“Når I følger de regler og retningslinjer, som I finder her på siden, er I hjulpet godt på vej i forhold til at overholde GDPR-lovgivningen og sikre jer selv, jeres forening samt de børn og frivillige, I arbejder med.”
Jurist hos Red Barnet

Almindelige personoplysniner og følsomme personoplysninger
Personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person. Man kan dele personoplysninger op i almindelige oplysninger og særlige kategorier af personoplysninger, også kaldet ‘følsomme personoplysninger’. Almindelige personoplysninger er alle typer af personoplysninger, der enten alene eller i kombination med andre oplysninger gør, at I kan identificere en person. Det kan fx være navn, adresse, e-mail, køn, alder og bankoplysninger, et billede eller lignende. 

Følsomme personoplysninger er oplysninger om:

– Racemæssig eller etnisk oprindelse
– Politisk, religiøs eller filosofisk overbevisning
– Fagforeningsmæssigt tilhørsforhold
– Genetisk data eller biometriske data, der kan identificere en person, såsom fingeraftryk eller DNA
– Helbredsmæssige oplysninger
– Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Det er KUN ovenstående oplysninger, der kategoriseres som følsomme personoplysninger.

CPR-nummer og oplysninger om straffedomme eller lovovertrædelser er IKKE følsomme personoplysninger. På trods heraf gælder særregler for disse typer af oplysninger, da de ikke blot må behandles som almindelige personoplysninger. 

Gå til dokument

Video om GDPR

Der kan være mange ting at holde styr på, når man arbejder med GDPR. Disse fire skabeloner for datapolitikker og samtykke hjælper jer med at overholde jeres oplysningspligt og sikre jeres hjemmel, hvilket er helt centrale dele af GDPR, som I altid bør have styr på – hvis I arbejder med disse fire skabeloner, tager I det første store stridt på vejen i arbejdet med GDPR.”
- Jurist hos Red Barnet

Skabeloner til datapolitik og samtykke

Datapolitik for deltagere (børn og forældre) Datapolitik for deltagere (frivillige) Samtykke (børn) Samtykke (frivillige og forældre)

Værd at vide om personoplysninger

Sådan behandler I personoplysninger

For at vide, hvornår og hvordan I må behandle personoplysninger, skal I tage stilling til formålet med behandlingen og hjemlen til behandlingen.

  • Ordet ‘behandle’ omfatter enhver håndtering af personoplysninger. Det vil sige, at I behandler oplysninger, når I modtager, gemmer, redigerer, ser, videresender og sletter persondata. Kort sagt er alt, I gør med personoplysninger en behandling.
  • Enhver behandling skal have et konkret og klart formål. Et formål med at behandle navne kan fx være, at I skal bruge navnene på lejrens deltagere for at kunne forberede materialet til lejeren. Formålet skal ses som ‘need-to-have’ og ikke ‘nice-to-have’ – nysgerrighed eller belejlighed er ikke et formål i sig selv. Det betyder fx, at en frivillig ikke af nysgerrighed må tjekke, hvor et barn eller en familie bor.
  • Man kan godt have flere formål med at behandle den samme personoplysning, men når alle formål er opfyldt, skal personoplysningerne slettes, da I herefter ikke længere har en grund (formål) til at behandle (gemme) oplysningerne.
  • Slutteligt skal I have en hjemmel, dvs. et lovgrundlag for alle behandlinger af persondata.  En hjemmel er et juridisk udtryk for en henvisning til lovgivning, der giver tilladelse til en bestemt handling. Der findes flere hjemler i persondataforordningen, som I skal finde på baggrund af det konkrete formål. Hvis en lejrleder indgår en kontrakt med jeres organisation, har organisationen en hjemmel i artikel 6, stk. 1, litra b, der giver tilladelse til at behandle personoplysninger i forbindelse med indgåelse af kontrakter og efterlevelse af kontraktens indhold.

Som nævnt ovenfor er der forskel på personoplysninger. Er der tale om følsomme personoplysninger, gælder der strengere hjemmelskrav. Ofte vil jeres organisation være nødsaget til at indhente et samtykke fra forældrene og/eller barnet, hvis I skal behandle følsomme oplysninger. Det kan være oplysninger om allergier, vigtig medicin, væsentlige familieoplysninger eller religiøse forhold. Vi anbefaler, at I indhenter samtykket ved at forældre og børn udfylder et indmeldelsesskema, hvor de giver samtykke til opbevaring af følsomme persondata, samt at oplysningerne må deles med relevante frivillige.

Husk at dette kun er relevant, når der er et formål hermed. Har I ikke brug for at behandle følsomme oplysninger om et barn, har I intet formål med at indsamle personoplysningerne. Derfor skal I aldrig blankt indhente følsomme personoplysninger og/eller samtykker.

Husk på!
Man kan ikke give samtykke til en ulovlig behandling. I kan derfor ikke indhente samtykke til at opbevare personoplysninger, I ikke har et formål med at behandle.

Særligt om samtykke fra børn

Når I ønsker at behandle følsomme personoplysninger om et barn, skal I overveje, om barnet selv kan give samtykke, eller om samtykket skal indhentes hos forældremyndighedsindehaver.

Hvorvidt barnet selv kan give samtykke afhænger af en konkret modenhedsvurdering. Den dataansvarlige skal derfor vurdere, om barnet har tilstrækkelig modenhed og forståelse til selv at give samtykke. Normalt vil et barn på 15 år være tilstrækkelig moden til at kunne give samtykke på egne vegne. Den information, som gives forud for samtykket, skal tilpasses barnets forståelse. Informationen skal altså være formuleret i et klart og forståeligt sprog, så barnet selv kan overskue oplysningerne.

Hvis den dataansvarlige vurderer, at barnet ikke har den tilstrækkelige modenhed, bør samtykket i stedet indhentes hos en forælder eller værge.

Red Barnet anbefaler, at I altid inddrager barnets forældremyndighedsindehaver, hvis der skal gives samtykke om følsomme personoplysninger. Læs mere i Datatilsynets vejledning til samtykke.

GDPR i praksis

GDPR har stor betydning for, hvordan I opbevarer og behandler personoplysninger. Reglen er, at I skal indføre passende tekniske og organisatoriske foranstaltninger. Disse afhænger blandt andet af jeres organisation, og mængden og typen af data.  

Som tommelfingerregel skal personoplysninger opbevares sikkert, så de ikke kan tilgås af andre end dem, der har et formål med at behandle oplysningerne. Det betyder fx, at indmeldelsesblanketter ikke bør ligge i en ulåst skuffe hos en frivillig, hvor andre kan tilgå dem. Samtidig bør personoplysninger ikke gemmes på eller sendes over usikre dataforbindelser. Facebook og Messenger er derfor ikke oplagte valg. 

Vi anbefaler, at personoplysninger gemmes på et drev, der er beskyttet af et stærkt kodeord, som kun kendes af den/de relevante medarbejdere/frivillige, og at I jævnligt laver en back-up af al data. Hvis I laver back-up til en virtuel sky, skal I være opmærksomme på, om den pågældende udbyder tilbyder tilstrækkelig sikkerhed. Dertil skal I huske, at cloud-tjenester typisk kræver, at I indgår en databehandleraftale med udbyderen. Betalingsløsninger som Microsoft OneDrive er sandsynligvis sikre, mens gratisløsninger som Google Drev eller Facebook ikke er sikre steder at opbevare personoplysninger. 

Personoplysninger opbevares kun så længe, der er hjemmel til og formål med det. Når et barn er udmeldt, alle økonomiske mellemværender med forældrene er bragt til ophør, samt I har rapporteret til AFF, skal familiens data slettes. Slettereglerne gælder også for frivillige og ansatte, men her kan I have formål med at gemme oplysningerne i længere tid, fx på grund af bogføringsloven eller jeres Child Safeguarding procedurer.  

Oplysning til børn, forældre og frivillige om håndtering af GDPR

Det er et lovkrav, at I skal oplyse de registrerede om, hvordan I behandler deres personoplysningerne. Dette kaldes typisk en ‘datapolitik’. Datapolitikken skal indeholde en bestemt række oplysninger, herunder hvem I er, hvilke data der behandles, formålet hermed, hjemlen hertil, hvem I sender oplysningerne til, hvilke rettigheder den registrerede har, samt hvortil der kan klages.

Dertil skal I kunne dokumentere, hvordan I internt håndterer personoplysninger. For hvis I ikke gør det, kan de frivillige og ansatte ikke vide, hvilke regler de skal følge.

Red Barnet anbefaler derfor, at I skriver ned, hvordan I arbejder med persondata. Her kan I læse mere om, hvilke dokumenter I skal have. Vi har også lavet en række forslag til dokumenter, som I med fordel kan tage udgangspunkt i.

Sådan bliver I fuldstændig GDPR-compliant

Hvis I vil gå mere grundigt til værks, kan I bruge vejledningen Hvordan bliver man compliant? og vores skabelon til at lave en fortegnelse.

Der findes også masser af litteratur og gode vejledninger på nettet, som I med fordel kan grave frem. Særligt anbefaler vi, at I læser Justitsministeriets vejledning i persondata i frivillige foreninger, da denne vejledning giver et rigtig godt indblik i de krav, I skal leve op til.