GDPR: Databehandleraftaler og fortegnelser

Værd at vide om GDPR for menighedsråd – Nyhed 7
Her er den syvende nyhedsartikel med viden og praktiske tips til hvordan I konkret kan leve op til reglerne. 

Indhold denne gang:

• Databehandleraftaler
• Fælles/delt dataansvar
• Fortegnelser

Databehandleraftaler
Menighedsrådet bestemmer formål og behandlingsmåde for de persondata der indsamles og behandles og er dermed dataansvarlig. Den dataansvarlige har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen.

Menighedsrådet kan vælge, at få hjælp til behandling af personoplysninger ved at benytte en tredjepart. Denne tredjepart er databehandler. Menighedsrådet har eneansvaret for den persondata, som behandles af databehandleren og menighedsrådet instruerer databehandleren i, hvordan data skal behandles og til hvilket formål.

Menighedsrådet skal sørge for, at der er, eller udfærdiges, en databehandleraftale med databehandleren. En databehandleraftale skal indeholde en tydelig instruks til databehandleren.

Eksempler på databehandlere kan fx være hjemmesideudbydere, kalenderudbydere, pladsbestillingssystemer, eksterne løn- og/eller regnskabsfører, kirkegårdsadministration.

Der er udarbejdet databehandleraftaler for nogle af de mest benyttede databehandlere i folkekirken, som menighedsrådene kan tilslutte sig, hvis de benytter sig af netop de databehandlere. Tilslutning sker via DAP under Adgange à Adfærdskodeks og aftaler.

Hvis menighedsrådene benytter sig af andre databehandlere, skal menighedsrådene selv udfærdige databehandleraftalen. Skabelon hertil findes i Bilag 7 – Databehandleraftale.

Fælles/delt dataansvar
Hvis flere parter har ansvaret for de persondata, som behandles, og dermed er fælles om at fastlægge formål og behandlingsmåde, er der tale om fælles/delt dataansvar. Begge parter har ansvaret for, at det er beskrevet, hvorledes dataansvaret er reguleret.

Det kan fx være flere menighedsråd, der deles om en hjemmeside eller i forbindelse med en samarbejdsaftale om fælles ansættelse af personale, der arbejder ved alle menighedsråd. Ved delt ansvar med andre, skal menighedsrådet sørge for, at der er en skriftlig aftale om regulering af dataansvaret. Se tekstskabelon i Bilag 9 – Aftale om fælles dataansvar.

Regulering af fælles dataansvar er allerede lavet for alle de kirkelige it-systemer, som Kirkeministeriet stiller til rådighed og kan ses i Kirkeministeriets cirkulærer om fælles dataansvar for henholdsvis økonomi-, betalings-, administrations-, HR- og lønområdet samt for valg i folkekirken – så her skal menighedsrådet ikke foretage sig yderligere.

Fortegnelser
Et menighedsråd har pligt til at lave fortegnelser over sine behandlingsaktiviteter. Formålet med fortegnelsen er at dokumentere de overvejelser der ligger til grund for en behandling, samt at behandlingen lever op til forordningens regler.

Fortegnelser skal foreligge skriftligt og elektronisk. Det betyder, at menighedsrådet ikke udelukkende må føre fortegnelsen i et fysisk dokument eller efter hukommelsen. Der stilles ikke herudover krav til fortegnelsens format. Menighedsrådet vil således kunne føre fortegnelsen i et skema eller i et almindeligt tekstbehandlingsdokument. Se tekstskabelon i Bilag 8 - Fortegnelse.

Fortegnelser er et internt dokument, og skal kun efter anmodning udleveres til Datatilsynet.

Læs mere
Læs mere om databehandleraftaler, fælles dataansvar samt fortegnelser i vejledningen – Værd at vide om GDPR for menighedsråd. Vejledningen findes på Landsforeningens GDPR-side øverst i boksen. 

Kom med på webinar
Du kan lære endnu mere om GDPR på en række webinarer, der vil blive afholdt i de næste måneder. 
Sæt allerede nu kryds i kalenderen: 

• onsdag 23. februar
• tirsdag den 8. marts
• onsdag den 23. marts
• tirsdag  5. april
• onsdag 20. april

Alle webinarer foregår klokken 16.30-17.30. 
Mere information om emner og tilmelding følger.