Deling eller videregivelse af personoplysninger

Når menighedsrådet deler eller videregiver personoplysninger, er det vigtigt at være opmærksom på, hvilken rolle rådet har i forbindelse med behandlingen – enten dataansvarlig eller databehandler, fordi kravene og forpligtelserne til dataansvarlige og databehandlere er forskellige. I udgangspunktet er det nemlig den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelsesforordningen.

Dataansvarlig: Afgør alene eller sammen med andre, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger

Fælles dataansvar: Flere myndigheder/parter fastsætter i fællesskab formålet og har begge ansvaret for den persondata, som bliver behandlet.

Databehandler: Behandler personoplysninger på den dataansvarliges vegne. Den dataansvarlige har eneansvaret for den persondata, som behandles af en anden part og den dataansvarlige instruerer databehandleren.

Videregivelse: Personoplysninger videregives til en selvstændig dataansvarlig

1. Fælles dataansvar

Hvis flere parter er fælles om at fastlægge formål og behandlingsmåde, er der tale om fælles/delt dataansvar.  Begge parter har ansvaret for, at det er beskrevet, hvorledes dataansvaret er reguleret.

1.1 Fælles dataansvar med By-, Land- og Kirkeministeriet (BLKM)

Menighedsrådet har fælles dataansvar med BLKM, når menighedsrådene benytter de it-løsninger, der stilles til rådighed af BLKM. Dette gælder ved BLKM’s fælles it-systemer vedrørende økonomi-, betalings-, administrations-, HR- og lønområdet (Økonomiportalen, FIN, GIAS og FLØS).

Det fælles dataansvar er reguleret i BLKM’s cirkulære om fælles dataansvar, så menighedsrådet skal ikke foretage sig yderligere i henhold til benyttelse af disse systemer.

1.2 Fælles dataansvar med øvrige

Menighedsrådet kan også have fælles dataansvar med andre menighedsråd. Flere menighedsråd har fælles dataansvar, når de deler en hjemmeside eller har en samarbejdsaftale om fælles ansættelse af personale, der arbejder ved alle menighedsråd. Ved fælles dataansvar med andre, skal menighedsrådet sørge for, at der er en skriftlig aftale om regulering af dataansvaret.

2. Databehandleraftaler

Der skal være en databehandleraftale, hvis en aftale eller en del af en aftale mellem menighedsrådet og en anden part (en databehandler) går ud på, at denne anden part skal behandle (fx indsamle, registrere, opbevare, videregive eller slette) personoplysninger efter instruks fra menighedsrådet som dataansvarlig.

En databehandleraftale skal være skriftlig og skal foreligge elektronisk.

En databehandleraftale skal fastsætte:

  • Genstanden for behandling – hvilke oplysninger, der bliver delt; det kan være navne, adresser (udsendelse af kirkeblad ved trykkeri) – eller navn og e-mailadresser (nyhedsbreve)
     
  • Varigheden af behandlingen
     
  • Behandlingens karakter og formål
     
  • Typen af personoplysninger
     
  • Kategorierne af registrerede
     
  • Den dataansvarliges forpligtelser og rettigheder
     
  • Herunder skal der også være oplysninger om:
     
  • Instruks fra den dataansvarlige – hvilken opgave der skal løses – formål
     
  • Fortroligheds- og tavshedsforpligtelse
     
  • Krav om behandlingssikkerhed fx opbevaring, adgangskoder, kryptering med videre
     
  • Krav om brugen af underdatabehandlere – fx forbud mod at benytte underdatabehandlere – eller at det kun kan ske mod dataansvarliges godkendelse
     
  • Forpligtelse til bistand ved besvarelse af anmodninger om udøvelse af de registreredes rettigheder om fx indsigt, berigtigelse, sletning med videre
     
  • Krav om bistand til den dataansvarlige
     
  • Forpligtelse til at slette og tilbagelevere data
     
  • Forpligtelse til at stille alle nødvendige oplysninger til rådighed fx også slettelogs, som bevis på at databehandler har handlet på en instruks om sletning.

Datatilsynet har udarbejdet en skabelon til databehandleraftaler. Der er en væsentlig fordel forbundet med brugen af Datatilsynets skabelon, som består i den sikkerhed, der ligger i aftalens juridisk bindende status. Det betyder, at Datatilsynet fx i forbindelse med et tilsynsbesøg, ikke vil efterprøve det allerede fastlagte indhold.

2.1 Eksterne it-systemer, som menighedsrådet kan tilslutte sig via FIN

Et menighedsråd kan benytte systemer, hvor databehandleraftalerne stilles til rådighed via By, Land- og Kirkeministeriet/Folkekirkens IT og kan tilslutte sig databehandleraftalen på FIN for de systemer, der benyttes.

Menighedsrådet er i denne relation dataansvarlig, mens systemleverandørerne er databehandlere. 

Det omfatter følgende systemer:

  • DKM, Danmarks Kirkelige Mediecenter
  • EG Brandsoft
  • Skovbo Data
  • Kirkeadministration.

I kan finde og tilslutte jer de forskellige databehandleraftaler for menighedsråd på FIN bag login i grupperummet “Informationssikkerhed og databeskyttelse i folkekirken”.

2.2 Eksterne it-systemer, som menighedsrådet selv indgår databehandleraftaler med

Et menighedsråd kan selv anskaffe sig softwareløsninger, hvor der deles persondata med firmaer, der herved bliver databehandlere, fx hjemmesideudbydere, pladsbookingsystemer, kalendersystemer. Her har menighedsrådet ansvar for, at der bliver lavet en databehandleraftale.

Vær opmærksom på, at nogle softwareleverandører har nogle standardforretningsbetingelser, der er konstrueret således, at man ved accept af handelsbetingelserne også accepterer en indbygget databehandleraftale/aftale om fælles dataansvar. Der er eksempler på, at sådanne standardbetingelser fastlægger, at der er fælles dataansvar, og at softwareleverandøren bliver ”medejer” til data i systemet. Dette er fx set ved bookingsystemer.

I nogle situationer kan menighedsrådet i stedet for at tiltræde standardbetingelserne vælge at erstatte disse med en egen databehandleraftale.

Eksempel: Hvis menighedsrådet har en aftale med et trykkeri om fremstilling af kirkeblade, vil der være tale om levering af en ydelse, der ikke kræver en databehandleraftale. Hvis trykkeriet også skal uddele bladet til navngivne personer, skal der laves en databehandleraftale. Hvis trykkeriet vælger at bruge et eksternt distributionsfirma til uddeling af kirkebladet, vil det skulle fremgå af jeres databehandleraftale, at der benyttes underdatabehandlere.

3. Videregivelse af oplysninger

Ved videregivelse er ”modtagerparten” selvstændig dataansvarlig for behandling af de personoplysninger vedkommende modtager. Menighedsrådet skal have hjemmel til at videregive oplysninger fx i lov, overenskomster, samfundsmæssig interesse, kontrakt mv.

Der skal ikke indgås en aftale om fælles dataansvar eller en databehandleraftale, når menighedsrådet udelukkende videregiver en oplysning, idet der netop ifølge lov, overenskomst, samfundsmæssig interesse, kontrakt mv. allerede er hjemmel til videregivelsen.

Hvis menighedsrådet tilbyder kirkebilskørsel, er en videregivet oplysning om fx navn og adresse på en kirkebilsbruger en praktisk nødvendighed for at kunne modtage kørselsydelsen fra vognmanden. Hjemlen til videregivelse er i dette tilfælde udførelse af en opgave i samfundets interesse.

Hvis en personalesag ikke kan løses lokalt, kan menighedsrådet videregive personoplysninger om overenskomstansatte til stifterne/ BLKM. Det er indbygget i hovedaftaler, organisationsaftaler mv., at det er stifterne/Kirkeministeriet, der har forhandlingsretten ved fagretlig behandling.

Indhold
  1. Fælles dataansvar
    1. Fælles dataansvar med By-, Land- og Kirkeministeriet (BLKM)
    2. Fælles dataansvar med øvrige
  2. Databehandleraftaler
    1. Eksterne it-systemer, som menighedsrådet kan tilslutte sig via FIN
    2. Eksterne it-systemer, som menighedsrådet selv indgår databehandleraftaler med
  3. Videregivelse af oplysninger