Overhold persondataforordningen – tjekliste til bestyrelsen
Den 25. maj træder EU’s persondataforordning i kraft, og det medfører en række pligter for bestyrelsen (eller administrator). Læs denne artikel om de overordnede principper i forordningen.
På baggrund af revisionsselskabet BDO’s rådgivning til sine kunder i virksomhederne bringer vi her en oversigt over, hvad andelsforeningers bestyrelser (eller administratorer) konkret skal gøre:
- Udarbejd en fortegnelse over behandlingen af personoplysninger. Opstil kategorier over de forskellige sammenhænge, i hvilke foreningen vil gemme personoplysninger. For hver kategori skal det anføres, om man forventer at dele oplysningerne med andre, og i givet fald hvem, hvor lang tid man forventer at gemme oplysningerne, og hvilke tekniske og organisatoriske foranstaltninger man har foretaget for at sikre, at oplysningerne er bevaret sikkert.
- Udarbejd risikovurdering med udgangspunkt i fortegnelsen. Her skal man overveje personoplysningernes følsomhed og risikoen for, at uvedkommende vil forsøge at tilgå dem.
- Indfør passende beskyttelse af virksomhedens personoplysninger med udgangspunkt i risikovurderingen. Det kan være relevant at købe it-sikkerhedssystemer, for eksempel til at beskytte mailkonti, som flere i bestyrelsen af adgang til. Graden af beskyttelse skal stå i et rimelig forhold til de risici, man er nået frem til under punkt 2.
- Udarbejd retningslinjer for de bestyrelsesmedlemmer eller andre i foreningen, der behandler personoplysninger.
- Udarbejd en databeskyttelsespolitik – punktet er typisk kun relevant, hvis der er tale om store foreninger, hvor organisationen kan minde om en arbejdsplads på den måde, at der er ”medarbejdere”, for eksempel medlemmer uden for bestyrelsen, der varetager betroede opgaver, og som i den forbindelse lejlighedsvis kan få adgang til personoplysninger om medlemmer. De vil have behov for at kende retningslinjerne i denne henseende.
- Indgå skriftlige databehandler-og fortrolighedsaftaler med henholdsvis databehandlere og eksterne leverandører/samarbejdspartnere, der behandler personoplysninger om medlemmer.
- Udarbejde procedure for at informere Datatilsynet – og eventuelt de berørte – ved brud på persondatasikkerheden. Sådanne informationer skal gives, hvis bruddet vurderes at indebære en risiko for den registreredes rettigheder og frihedsrettigheder, for eksempel i en situation hvor foreningens mailkonto er blevet hacket.
Billedet er fra A/B Vesterbrogade 100 i København.