GDPR i praksis – gratis webinar

Det er korrekt, at i ethvert tilfælde, hvor der er tale om personfølsomme data, SKAL der altid indhentes et samtykke fra den enkelte person, hvis dennes data skal deles uden for organisationens fire vægge.

Man kan indhente samtykke på flere måder – hvilket også kan være via en indmeldelse eller beskrevet i en vedtægt. Men det vurderes, at deling af personfølsomme data jf. GDPR artikel 9, skal opnås ved særligt samtykke og kan ikke ”bundles” sammen med et generelt medlemskab af en forening.

Reglerne for deling af personhenførbare data – altså ikke nødvendigvis personfølsomme data – er lidt lempeligere. Her vil man godt kunne dele en Medlemsoversigt internt i foreningen, uden et egentligt samtykke.

Microsoft – eller øvrige store Cloud-leverandører – vil ikke besvare enkelthenvendelser eller tilbyde tilsyn til deres hostingcentre.

Denne opgave er pålagt en ekstern revision hos de store Cloud leverandører og udmønter sig i relevante revisorerklæringer og certificeringer, som ofte publiceres via deres hjemmesides sikkerhedscenter eller kan rekvireres ved henvendelse.

Hvis disse erklæringer lever op til EU’s krav til GDPR, så vil Datatilsynet ikke fokusere på dette yderligere ved kontrol.

Kodeordet i denne konstellation er ”Central håndtering af Masterdata”! Og hvad vil det så sige?

Det betyder, at hovedorganisationen sørger for at håndtere ALLE foreningernes medlemsdata i én og samme central Medlemsløsning. De enkelte frivillige foreninger tilgår så Deres respektive data i denne løsning.

Herved vil det kun være hovedorganisationen der skal føre tilsyn og de underliggende foreninger vil kunne benytte dette tilsyn.