Retningslinjer vedrørende fælles dataansvar

Mellem Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene

24. maj 2018


1.    Fælles dataansvar

1.1.    Disse retningslinjer fastsætter ansvarsfordelingen mellem Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene i forbindelse med: 

Medlemsregistrering i det fælles medlemssystem Carla.


1.2.    Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling. 

Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennem-sigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de da-taansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt. 

Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede. 

Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.     
 
Den ”interne” ansvarsfordeling i retningslinjerne om fælles dataansvar hindrer ligeledes ikke, at tilsynsmyndigheden kan udøve sine beføjelser overfor både Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene.  

1.3.    Det vurderes, at der mellem Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene i forbindelse med medlemsregistrering i det fælles medlemssystem Carla foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:

Medlemssystemet stilles til rådighed for kredsene af landsforbundet. Kredsene indtaster stamdata på sine medlemmer og anvender data på kredsens egne medlemmer til egne formål, såsom fx kontingentopkrævning og ansøgning om tilskud hos kommunen. Kredsene bestemmer selv hvordan og i hvilket omfang systemet anvendes til egne formål. Landsforbundet anvender de samme data til egne formål, såsom fx opkrævning af kontingent hos kredsene, udsendelse af blade, publikationer og nyheder til relevante medlemsgrupper samt ansøgning om driftstilskud hos DUF. Da der ikke er tale om en videregivelse fra kreds til landsforbund, men et fælles datasæt, som både kreds og landsforbund anvender til selvstændigt fastlagte formål vurderes det, at der foreligger et fælles dataansvar. 


1.4.    Disse retningslinjer er udformet med henblik på, at Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I retningslinjerne fastlægges Landsforbundet Frivilligt Drenge- og Pige-Forbund, FDF og FDF-kredsene respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14. 


2.    Overordnet ansvarsfordeling

2.1.    Landsforbundets overordnede ansvar er at drive og udvikle Carla samt at sørge for den nødvendige sikkerhed og backup af data. Landsforbundet vejleder om korrekt brug af Carla og sørger for brugersupport til de kredsansvarlige m.fl.

2.2.    FDF-kredsenes overordnede ansvar er, at kredsens medlemmer er registreret og ajourført i FDFs medlemssystem.

3.    Principper og behandlingshjemmel

3.1.    Den der indhenter oplysninger fra medlemmet eller lederen har ansvar for, at der foreligger et gyldigt behandlingsgrundlag og for at kunne dokumentere dette, fx over for tilsynsmyndigheden. Som hovedregel behandles oplysninger ud fra legitime interesser.

3.2.    Landsforbundet og FDF-kredsene er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældendes ansvarsområder ifølge denne aftale. 


4.    De registreredes rettigheder

4.1.    Begge parter er ansvarlig for sikringen af de registreredes rettigheder gennem iagttagelse af nedenstående regler i databeskyttelsesforordningen:

•    oplysningspligt ved indsamling af personoplysninger hos den registrerede, 
•    oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede, 
•    den registreredes indsigtsret,
•    ret til berigtigelse, 
•    ret til sletning (retten til at blive glemt), 
•    ret til begrænsning af behandling,
•    underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling, 
•    ret til dataportabilitet (dog ikke for offentlige myndigheder) og
•    ret til indsigelse mod en behandling.

4.2.    Såfremt Landsforbundet modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af kredsens ansvar, jf. ovenstående, oversendes denne til besvarelse hos kredsen snarest muligt. 

4.3.    Såfremt kredsen modtager en anmodning eller henvendelse fra en registreret vedrørende de forhold, der er omfattet af landsforbundets ansvar, jf. ovenstående, oversendes denne til besvarelse hos Landsforbundet snarest muligt. 

4.4.    Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.

5.    Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen

5.1.    Landsforbundet er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres. (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at Landsforbundet udarbejder procedurer for håndtering af sikkerheds-brister, anmodninger om indsigt eller opfyldelse af oplysningspligten.

5.2.    Landsforbundets foranstaltninger skal, hvis det står i rimeligt forhold til behandlingsaktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.

5.3.    Landsforbundet er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25. 

5.4.    Landsforbundet er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Dette indebærer, at Landsforbundet, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.   


6.    Anvendelse af databehandlere og underdatabehandlere

6.1.    Landsforbundet er berettiget til at anvende databehandlere og/eller eventuelle underdatabehandlere i tilknytning til den fælles behandling. 

6.2.    Ved eventuel anvendelse af databehandlere og/ eller underdatabehandlere er Landsforbundet ansvarlig for at efterleve kravene i databeskyttelsesforordningens artikel 28. Landsforbundet er herefter bl.a. forpligtet til:

•    alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,

•    at sikre, at der foreligger en gyldig databehandleraftale mellem Landsforbundet og databehandleren, og 

•    at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.

7.    Fortegnelse

7.1.    Begge parter er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at begge parter udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.  

8.    Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

8.1.    Landsforbundet er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden. Såfremt det sker hos en FDF-kreds underrettes Landsforbundet snarest muligt herom, hvorefter Landsforbundet i samarbejde med den pågældende kreds tager initiativ til at underrette tilsynsmyndigheden.


9.    Underretning om brud på persondatasikkerheden til den registrerede

9.1.    Landsforbundet er ansvarlig for iagttagelsen af databeskyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.

10.    Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

10.1.    Landsforbundet er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at Landsforbundet, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. 

10.2.    Landsforbundet er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt. 


11.    Klager 

11.1.    Parterne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke parten efter denne aftale er ansvarlig. 
 
11.2.    Hvis én af parterne modtager en klage, som rettelig bør behandles af den anden part, oversendes klagen til denne dataansvarlig snarest muligt. 

11.3.    Hvis én af parterne modtager en klage, hvor en del af klagen rettelig bør behandles af den anden part, oversendes denne del til besvarelse hos parten snarest muligt. 

11.4.    Den registrerede skal, i forbindelse med partens oversendelse af en klage eller en del heraf til den anden part, oplyses om det væsentligste indhold af denne aftale.  


12.    Orientering af den anden part

12.1.    Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles behandling og denne aftale.

13.     Ikrafttræden og ophør

13.1.    Disse retningslinjer træder i kraft med omgående virkning

13.2.    Retningslinjerne er gældende, så længe de omhandlede oplysninger behandles, eller indtil retningslinjerne afløses af nye retningslinjer, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.