5 spørgsmål om GDPR
Skrevet af:
Dejan Fontana, IT-ansvarlig
Udgivet 8. februar 2024
Er vi som en lille aftenskole underlagt GDPR og Databeskyttelsesloven?
Ja. Alle virksomheder og organisationer i Danmark er underlagt GDPR uanset hvor store eller små de er.
Hvis vi ikke behandler følsomme oplysninger, skal vi så tænke på GDPR og Databeskyttelsesloven?
Ja. Loven gælder alle oplysninger, uanset om de er almene, følsomme eller fortrolige. Grundlæggende databeskyttelsesprincipper gælder alle kategorier, hvor der dog stilles lidt mere skærpede krav til behandlingen af følsomme eller fortrolige oplysninger.
Bemærk, at handicap (i forbindelse med handicap- og specialundervisning) betragtes som helbredsoplysning og herunder følsom personoplysning. CPR er ikke følsom oplysning, men hører under kategorien ’fortrolige oplysninger’.
Er oplysninger om vores undervisere/ansætte underlagt GDPR?
Ja. Her skal I også overholde grundlæggende principper i databeskyttelsesforordningen om behandlingsgrundlag/lovlighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning/slettefrister samt integritet/fortrolighed.
Må vi behandle CPR-numre for særlige grupper så som pensionister, deltagere med handicap og så videre?
Set alene med GDPR briller på, så har aftenskolerne kun lovhjemmel til behandling af CPR for udenbys deltagere (jævnfør Folkeoplysningsloven) og ikke andet. Hvis en kommune alligevel kræver CPR for andre deltagertyper end udenbys, skal skolen helst have dette krav på skrift og samtidig bede kommunen om at redegøre for det retlige grundlag for dette krav jævnfør databeskyttelsesforordningen artikel 6.
I praksis betyder det, at kommunen i sit dokumentationskrav eksplicit skal angive, om dokumentation (for eksempel Udbetalingsmeddelelse) skal indeholde CPR eller ej.
Er billeder af de ansatte eller deltagere en personoplysning?
Ja. Et billede af en genkendelig person er en personoplysning og skal behandles på samme måde som andre personoplysninger. Dog afhænger reglerne om offentliggørelsen (for eksempel på en hjemmeside) af en række faktorer så som kontekst, sted og formål.
Et billede af foreningens aktiviteter, hvor selve aktiviteten er i fokus, kan i visse tilfælde offentliggøres uden yderligere krav, mens billeder af besøgende i et fitnesscenter kræver som regel et eksplicit samtykke.
Derfor skal man altid overveje om skolens legitime interesse (ved offentliggørelse) overstiger den registreredes (personens) rettigheder/interesse, og om person(er) på billedet kan føle sig udstillet eller krænket. Man skal altid tænke på eventuelle konsekvenser, offentliggørelsen af billeder kan have for de personer, der er på billedet. Hovedreglen er: Hvis du er i tvivl, så få et samtykke fra de personer, der er på billedet. Bemærk dog, at samtykke skal være frivilligt og derfor ikke altid kan anvendes på de ansatte (herunder undervisere) grundet det ulige forhold mellem arbejdsgiveren og den ansatte. Her skal man nok finde behandlingshjemmel i interesseafvejning.