Vedtægtsforslag Persondataforordning


(Tina Brixen) #1

Dataforordning

Begrundelse
Der er behov for at få tydeliggjort at databeskyttelse er et hensyn på niveau med økonomisk hæftelse for en bestyrelse. Særligt fordi bøder som følge af ulovlig håndtering af persondata efter alt at dømme vil flyde opad i organisationen og koste for landsorganisationen.

§ 20 - ændring fra ‘Tegning og økonomi’ til “Tegning, økonomi og data”
“Hovedbestyrelsen er forpligtet til at etablere procedurer, der sikrer medlemmers, medarbejderes og samarbejdspartneres personlige oplysninger.”

i minimumsvedtægter
§ xx - ændring fra ‘Tegning og økonomi’ til “Tegning, økonomi og data”
Ny stk 7. “Bestyrelser i lokal- og storkredsforeninger er ansvarlige for at at leve op til Alternativets regler for beskyttelse og håndtering af persondata, herunder specifikt medlemmernes data.”

_Dette er et forslag som er udarbejdet i et udvalg under Hovedbestyrelsen og som frem til den 3. april er til diskussion og kvalificering i hovedbestyrelsen. 4. april bliver forslaget og kommentarer, endeligt færdig behandlet og godkendt af hovedbestyrelsen, hvorefter de indgår i den samlede indstilling fra hovedbestyrelsen til Landsmødet. _

Formålet med at de ligger på dialog er at alle har mulighed for at komme med kommentarer og kvalificere dette, ud over input til teksten, vil vi også meget gerne høre jeres bud på hvilke fordele og ulemer i ser for det enkelte forslag.


(Palle Skov) #2

Hej Tina! Vil du have ulejlighed med at fortælle os om udvalgets overvejelser omkring rollen som ‘dataansvarlig’ i sammenhæng med at hver kommuneforening og hver storkredsforening er selvstændig med eget CVR-nummer?

Datatilsynet skriver om ‘dataansvar’ dette på sin hjemmeside: Datatilsynet har i enkelte meget konkret begrundede sager accepteret et delt dataansvar. Dog vil der som udgangspunkt normalt kun være én dataansvarlig i forbindelse med en given behandling af personoplysninger.
_
Du skriver, at bøder som følge af ulovlig håndtering af persondata efter alt at dømme vil flyde opad i organisationen. Vil du uddybe hvad udvalget har lagt til grund for at udtale ‘efter alt at dømme’?

Jeg vil endelig spørge, om udvalget har drøftet og forholdt sig til vores brug af Google som databehandler af mails @alternativet og tilhørende dokumentbehandling på Google Drive?


(Tina Brixen) #3

Hej Palle

Det er ikke min skarpe side, men jeg kan kan prøve. Sagen er at, der det sidste halve år er blevet arbejdet hård fra Landssekretariatets side på at finde den bedste løsning omkring persondata for Alternativet på alle niveauer. Og denne vedtægts løsning, er en del af deres anbefaling, og derfor ikke noget udvalget omkring vedtægterne har meget at sige om.

Den lang forklaring på det ligger i et bilag fra det sidste HB møde her

Den korte version er, at det er Alternativets hovedorganisation, der i første omgang er dem, der har ansvaret for det data, der ligger i systemet og derfor og der også dem, der har ansvaret for at de, der efterfølgende behandler det, gør det med den omtanke det kræver. Og dermed er det hovedorganisationen, der skal sikre at de, der på lokalkreds niveau håndter f.eks. lister for stemmeberettigede til et årsmøde, håndtere denne data efter lovgivningen. Den anden del er, at databehandler-aftaler med ‘svage’ og hyppigt skiftende decentrale enheder ville være a) en falsk tryghed og b) at uretfærdigt stort pres at lægge over på dem. Derfor skal vi sikre at systemet bygges, så det sikrer data bedst muligt via benspænd og just-in-time information i dagligt brug.

I forhold til Google drev, er det ikke noget vi har forholdt os til i forhold til vedtægter, men jeg ved det er en del af arbejdet med at sikre vi overholder persondataforordningen og mere info om dette bliver udsendt til kredsene senere.

Kh
Tina


(Palle Skov) #4

Kære Tina
Mange tak for din replik og for linket til bilag til pkt. 4 til HB 22-03.
Jeg adresserer det følgende til HB (Hovedbestyrelsen) og ikke til dig personligt.

HB begrunder helt overordnet forslaget til vedtægtsændring således:
Der er behov for at få tydeliggjort at databeskyttelse er et hensyn på niveau med økonomisk hæftelse for en bestyrelse. Særligt fordi bøder som følge af ulovlig håndtering af persondata efter alt at dømme vil flyde opad i organisationen og koste for landsorganisationen.”

HB sondrer mellem landsorganisationens økonomi og de mange foreningers (bydels-, kommune- og storkredsforeningernes) individuelle økonomi!

Juridisk konsulent Jan Kristoffersen citeres i bilag til HB pkt. 4 for følgende:

”Jan skriver om den tilgang, som er urealistisk og uhensigtsmæssig i vores (sic!) øjne: Storkredse og lokalforeninger er som udgangspunkt selvstændige juridiske enheder, der har adgang til og behandler data som landsforeningen er dataansvarlig for.” og

” Jan skriver om den mulige anden vej, som er den vi (sic!) har besluttet at følge: Det kan overvejes at betragte storkredse og lokalforeninger som tredjepart i relation til forordningen.

Om Tredjepartsansvar i relation til databeskyttelse står der i bilaget til HB:
I stedet for at udforme x antal databehandleraftaler og få samtlige bestyrelser eller bestyrelsesrepræsentanter til at skrive under, scanne dokumenterne ind, og dertil opdatere dem jævnligt, når en ny bestyrelse træder til, har vi (sic!) besluttet, at det giver bedst mening i en organisation som vores, at vi fremover arbejder med begrebet om tredjepart i forhold til persondataansvar.
Man kan argumentere for, at en tredjeparts-ordning vil gøre det sværere at placere det økonomiske ansvar i tilfælde af brud, men i praksis vil de fleste storkred-se/lokalforeninger ikke være i stand til at bære forordningens bødeniveauer, hvorfor sikkerheden i en databehandleraftale derfor er mere symbolsk end reel.

Datasikkerhed handler om analyser og processer. Resultatet kan udmønte sig i en databehandleraftale. I forhold til at minimere den menneskelige risiokofaktor er Uddannelse, Vejledning, Instruks og Opfølgning det afgørende før, under og efter databehandleraftalen er indgået. Det forudsættes at vi som samlet organisation, på alle niveauer magter at leve op til vores forpligtelser i henhold til forordningen.
Ja, det er bøvlet og det koster; men et vist minimum af et professionelt bureaukrati er efter min erfaring nødvendig for at en organisation kan leve op til den nye databeskyttelsesforordning. Design og Håndbogen kan understøtte sikkerhedsarbejdet; men ikke erstatte den menneskelige faktor.

Skal vores tilgang bestå i et prokuratorkneb (med al respekt @Jan_Kristoffersen :blush:) der har til formål at skabe en for Datatilsynet så grumset situation, at ansvarsplacering vanskeliggøres? Og som kunne antyde en legitimering og accept af mindre sikkerhedsbevidsthed i foreningerne?

Er det ny politisk kultur? Spørger jeg HB!

Jeg aner en medieopmærksomhed herom i horisonten, jeg gerne vil være foruden.

Jeg ved godt jeg er lidt naiv, men for mig er det en selvfølge at vi som et politisk parti, en politisk bevægelse, der tilmed opbygger egne datasystemer, der favner hele vores bevægelse incl. vores 4. sektor virksomheder, går forrest og demonstrerer at vi, netop vi, selvfølgelig har et datasikkerhedsmæssigt beredskab, der tåler fuld gennemsigtighed – også efter den 25. maj. Ingen vil være 100% klar den 25. maj. Datatilsynet selv er bagud med nødvendige vejledninger. Og der står ikke kontrollører klar med bødeblokken den 26. maj. Vi er godt i gang og vi har selvfølgelig tid til at træffe ’ordentlige’ beslutninger :persevere: :green_heart:: :green_heart:

Det generer mig dog lidt, at en så afgørende sag fremlægges for HB som en orienteringssag med oplysningen at vi (sic!) har besluttet!!! Jeg er sikker på at HB ved hvem vi (sic!) er; men det gør vi andre ikke.

Jeg anerkender Landsorganisationens ønske om at skabe de bedste arbejdsrutiner omkring vores omgang med de meget følsomme persondata, som netop vi, som politisk organisation, håndterer. Jeg er ikke ekspert, men tillader mig på baggrund af mere end 30 års erfaring som ’øverste sikkerhedsansvarlige’ i forskellige offentlige myndigheder, at udtrykke en til bekymring grænsende skepsis over ”vi og vores” beslutning. En skepsis, fordi det fremstår, dels som om den dataansvarlige (Landsorganisationen) og alle vi arbejdende frivillige, kan slippe ”lettere” om med sikkerhedsarbejdet ved at lægge en fiktiv teknisk tredjepart ind i arbejdet; dels at Landsorganisationen kan slippe lettere om at give helt klare instrukser i forhold til hvilke formål vore opbevarede personoplysninger må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne), herunder af hvem personoplysningerne må behandles.

Jeg er fuldstændig enig i og deler ønsket om at skabe de bedst mulige rammer og arbejdsvilkår for de mange medlemmer, der engagerer sig i det for Å helt afgørende frivillige organisatoriske arbejde i alle vore mange foreninger og i bevægelsen i øvrigt.
Jeg efterlyser derfor en klar udmelding fra politisk ledelse @UffeElbaek og fra hovedbestyrelsen @Nilas om Å’s bevidsthed om arbejdet med hvordan vi ledelsesmæssigt sammen håndterer de udfordringer som databeskyttelsesforordningen betyder for os alle.

Kh Palle
PS Link til WIKI med alle dokumenter til HBs møde 22-03-18


(Tina Brixen) #5

Jeg kan godt på HBs vegne meddele at vi tager det her område alvorligt, og at vi gennem det sidst år har arbejdet meget seriøst med at skabe den bedste lønsning på området.
Og formålet med denne løsning er ikke at at skabe uklarhed, men at sikre det bedst mulige grundlag for at lovgivningen bliver overholdt.
Når bilaget omtaler et vi er der tale om den arbejdesgruppe på Landssekretariaet, der efter en gennemgang af vores egne systemer, samtaler med andre partier om deres tilgang og gennemgangen af kravene er kommet frem til at dette er den rigtige løsning for os.
Lovgivingen omkring Persondataforordingen er ikke skabt med øje for foreningsDanmarked store behov for både adgang til data og stor udskifting på poster, og mange frivillige, som ikke har dataforordinger som kerne kompetancere. Men med fokus på virksomheder hvor man kan udpeget enkeltpersoner, som har dette som jobbeskrivelse. Derfor er hovedelementer i denne løsning også det, der hedder Privacy by design.
Altså at vi indarbejder sikkeredeheden i AlleOs og dermed, sikre at den enkelte frivillige som har behov for denne data, sammen med denne data er tvunget til at forholde sig til hvilke regler der er for at forholde sig til dette.

kh
tina


(Christine Madsen) #6

Ingen datasikkerhed uden brugervenlighed

I en anden tråd argumenterer jeg for, at det ikke puttes flere hoveder på vores mangehovede monster at et IT-system, før de grundlæggende funktioner er anvendelige for et flertal af medlemmerne. Ud fra et demokratisk synspunkt. Det samme gør sig gældende i forhold til datasikkerhed.

Jeg ved godt, at problemerne er børnesygdomme og at brugervenlighed kræver tid og penge til

  • at teste systemer op imod brugernes forskellige typer IT
  • at vedligeholde IT-systemerne,
  • at lave instruktioner
  • at opbygge søgesystemer og
  • at etablere kvalificeret support

MEN:

Uden brugervenlighed kan der opstå en Catch-22 situation hvor brud på datasikkerheden bliver en betingelse for at kunne løse opgaven:

  • Brugeren har en opgave, der SKAL kunne løses.
  • Systemudviklerne laver et IT-system, der skal sikre datsasikkerheden i den opgave, som brugeren skal løse
  • IT-systemet er uanvendeligt til opgaven for den almindelige bruger (uden at systemudviklerne forstår dette)
  • Når brugeren spørger om hjælp, svarer “supporten”: Brug IT-systemet.
  • Brugeren, der er forpligtet til at løse sin opgave, finder på en nødløsning, der løser opgaven, men bryder datasikkerheden (uden at brugeren forstår dette)

Virkelighedens trakasserier med indkaldelser, Dialog og medlemslister

I den anden tråd har jeg i eksempler bl.a. beskrevet problemerne med at bruge Dialog og med at udtrække medlemslister, sådan som de opleves - her

https://dialog.alternativet.dk/t/involver-medlemmerne/8279/2?u=christine

Nedenfor er denne virkelighed sat op i relation til datasikkerhed og Catch-22:

1) Givet:
Alternativet SKAL have en til enhver tid ajourført medlemsliste med oplysninger om medlemmernes mail-adresser

2) Givet:
Bestyrelser SKAL som minimum kunne udsende indkaldelser mv. til medlemmerne til årsmøder og opstillingsmøder via mail. Der er oftest tidsfrister knyttet til dette.
Det er godt, hvis de også kan udsende nyhedsbreve til medlemmerne.

3) Givet:
Oplysningerne om medlemsskab af en politiske forening og andre persondata om de enkelte medlemmer, herunder deres mailadresser, er følsomme personoplysninger.
Der må ikke videregives, opbevares eller anvendes følsomme personoplysninger til uvedkommende formål eller personer.

4) Antagelser og løsningsforsøg vedr. medlemslister
Vi antager, at medlemslisterne er sikre, hvis vi kun giver autoriserede tillidspersoner adgang til de - for dem - relevante lister.
Vi opbygger et system, som kan gøre det muligt for autoriserede tillidspersoner kan trække oplysninger om de relevante medlemmer.
Vi antager, at de autoriserede tillidspersoner bruger samme typer IT og browsere som os selv. Når det virker for os, så virker det nok også for alle andre.

(Og/eller: Vi har ikke tid og råd til at teste det!)

5) Antagelser og løsningsforsøg vedr. udsendelser
Vi kan undgå unødig spredning af følsomme persondata, hvis vi bygger et system - Dialog - som kan gøre det muligt for tillidspersoner med korrekt autorisation at udsende indkaldelser og nyhedsbreve til relevante grupper af medlemmer på basis af til enhver tid ajourførte medlemslister - men uden direkte adgang til disse medlemslisterne.

6) Fejlslutninger
Fejlagtige antagelser om, at det i også virkeligheden er muligt for de tillidspersoner, der skal bruge systemerne til medlemslister og udsendelser at anvende disse efter hensigten

  • UDEN test af, om systemerne virker på andre gængse systemer og browsere - nye såvel som gamle
  • UDEN søgbare tilgængelige instruktioner
  • UDEN personlig vejledning / kurser
  • UDEN adgang til fungerende kvalificeret support

(Og/eller: Vi har ikke tid og råd til dette!)

7) Virkelighed:
Tillidspersoner i en given bestyrelse SKAL udsende en indkaldelse til et årsmøde og/eller et opstillingsmøde
Mødet er forberedt, der er lavet dagsorden - og nu skal indkaldelsen lige afsted. Men hvordan???

Spørgsmål til Landssekretariatet - Hvordan?
Svar: Brug Dialog!

  • Efter dages forgæves forsøg på at finde ud af, hvordan Dialog virker
  • Efter dages forgæves forsøg på at finde vejledninger til hvordan
  • Efter dages forgæves forsøg på at få hjælp fra “support” i Landssekretariaet

Personlige aftaler må aflyses for at få tid til at bokse med Alternativets IT-systemer. For flere personer.

Opgivelse: Dette her nytter ikke noget. Vi kan ikke finde af det.
Der er tidsfrister, der skal overholdes! Vi er nødt til at finde en anden løsning.

Medlemslisterne! - dem må vi da kunne få fat på. Så kan vi skrive en mail ud til hvert enkelt.

  • Efter gentagne forgæves forsøg på at finde ud af, hvordan man downloader medlemslisterne (Der står bare en rund “bold” og snurrer på skærmen)
  • Efter dages forgæves forsøg på at få hjælp fra “support” i Landssekretariaet

Begyndende desperation: Tidfristen er tæt på udløb

Hårde ord imod en medarbejder på Landssekretariatet. Udenfor dennes arbejdstid. Pres for at få EN ELLER ANDEN til at trække den medlemsliste og sende den.

Få timer før tidsfristen udløber: HURRA! Her er medlemslisten endelig.

Nu kan vi sende indkaldelsen. Alle private aftaler har nu været aflyste i op imod en uge. For flere personer. Aftenen og natten tages til hjælp. 23:50 er indkaldelserne sendt. Vi nåede det lige før deadline.

(Hvis man ved hvordan, tager det kun et øjeblik. Hvis ikke, kan det stjæle flere personers tid og kræfter i mange dage. TIDSSPILDET ER ENORMT. Motivationen til at skulle forholde sig til nye hoveder på det mangehovede monster er NIL)

8) Resultatet: Brud på persondatasikkerheden

Der er INGEN i den pågældende bestyrelse, der ønsker sig en gentagelse af punkt 7 sådan lige foreløbig - hvis det på nogen måde kan undgås. Og det kan det indtil næste gang, der skal være en formel indkaldelse.

For nu har man medlemslisten. Den ligger på en eller flere personlige computere.

Og herefter skriver man direkte mails til sine medlemmer ud fra denne medlemsliste (uden ajourføring). Det er dejligt at kunne komme i kontakt med sine medlemmer!

Det sker ind imellem, at man glemmer at sætte mailadresserne som BCC: - så kan alle læse alle andres mails.

Men sådan er det jo: Det er menneskeligt at fejle.

9) I situationer som her - hvem har da ansvar for persondatasikkerheden?


Involver medlemmerne
(Karen Maria Slente Stubager) #7

Kære Palle,
Tak for dine input og dine bekymringer. Godt du råber op :slight_smile: Da det er mig, der sidder som projektleder på compliance af persondataforordningen i Å melder jeg mig her på banen. Jeg vil gerne, hvis vi kunne mødes og snakke enten over tlf. eller på kontoret i Åbenrå, så jeg kan få dine input med i det videre arbejde.
Så hvis du har lyst må du gerne skrive til mig på karenmaria.slente@alternativet.dk ellers hører du fra mig.


(Karen Maria Slente Stubager) #8

Kære Cristine,
Tak for dine input og dine bekymringer. Det er lige netop en viden som denne, vi har brug for i udviklingen af vores IT-systemer. En udvikling der allerede er godt i gang, men som altid kan bruge flere input. Da det er mig, der sidder som projektleder på compliance af persondataforordningen i Å melder jeg mig her på banen. Jeg vil gerne, hvis vi kunne mødes og snakke enten over tlf. eller på kontoret i Åbenrå, så jeg kan få dine input med i det videre arbejde. Så hvis du har lyst må du gerne skrive til mig på karenmaria.slente@alternativet.dk ellers hører du fra mig.


(Palle Skov) #9

Kære Karen-Maria.
Jeg har sendt dig separat besked via AlleOs kommunikation


(Anne Grete Kamilles) #10

Kære alle
Jeg har lige været på kursus i den nye persondatalov der træder i kraft i slutningen af maj.
Jeg er formand for foreningen Musik over Præstø Fjord og jeg forstod at alle foreninger skal have en privatlivspolitik liggende tilgængelig for medlemmerne feks på www. foreningens hjemmeside. DGI / DIF har udviklet en blanket der er nem for alle at udfylde og ændre så den passer til det rette formål for den enkelte forening. Så jeg tænker at der i vedtægterne skal stå
Hovedbestyrelsen er ansvarlig for at der til hver en tid er en opdateret privaltlivspolitik liggende tilgængelig på Alternativets hjemmeside.
Man kan finde blanketten på DIF /DIG under


Mange glade hilsner Anne Grete Kamilles


(Christine Madsen) #11

Kære Karen-Maria

Ja, jeg vil gerne bidrage, hvis jeg kan. Jeg har for travlt til at skrive til dig i denne uge - men jeg kontakter dig, hvis du ikke når at kontakte mig først.

HIlsen Christine


(Christine Madsen) #12

Kære Anne Grete

Dit forslag lyder rigtigt!

Også fordi det ikke er alle storkredse og lokalforeninger, der har - eller har kræfter til - at drive en hjemmeside.

Og Facebook er bare IKKE relevant i denne sammenhæng.

Hilsen Christine


(Christine Madsen) #13

Ved nærmere eftertanke:
Dataansvar er relevant i forhold til brug af Facebook og andre sociale medier.

NØGLEORDET ER SAMTYKKE

Om fotos og videoer som persondata og om dataansvarlige på Facebooksider mv.

Der er fejlagtige indstruktioner i Håndbogen på AlleOs om brug af billeder - og mangelfulde instruktioner i Kandidathåndbogen

Kort fortalt og forsimplet forklaret er de korrekte regler således:

Fotografier og videoer af genkendelige personer er persondata og skal behandles som sådan. Nøgleordet er SAMTYKKE

Det er ligesom med sex:

  • Der skal være samtykke OG
  • samtykket kan til enhver tid tilbagekaldes.

I forhold til fotografier og videoer af genkendelige personer skal du derfor vide

  • at du både skal have samtykke til at fotografere / filme
  • og samtykke til at offentliggøre billeder / videoer
  • samt at samtykket til enhver tid kan kaldes tilbage

Dette er vigtigt at vide for enhver, der bruger sociale medier, herunder Facebook.

De personer, der f.eks. har en Facebook-konto, kan IKKE fraskrive sig et personligt dataansvar.

I HÅNDBOGEN på AlleOs der der en mangelfuld og delvist fejlagtig instruktion i reglerne om brug af billeder - her:

https://alleos.alternativet.dk/handbook/view/209

Manglen består i, at der kun er taget hensyn til begrænsninger vedr. ophavsret men IKKE til begrænsninger vedr. billeder som persondata.

Den delvise fejl er der, hvor der står:

”Det må du:

* Bruge dine egne billeder”

Dette er rigtigt nok, hvis disse billeder ikke viser fotos eller videoer af genkendelige personer. Men hvis de gør, så er det IKKE sandt, at du uden videre må bruge dem.

Dette her er altså ikke et spørgsmål om Alternativets interne regler: Alternativet skal overholde dansk lovgivning om behandling af persondata!

Ifølge Datatilsynet gælder dette:

Billeder på internettet
Offentliggørelse på internet af billeder af genkendelige personer betragtes som en elektronisk behandling af personoplysninger. Dette gælder uanset om billedet er ledsaget af en tekst, der identificerer den pågældende. Persondatalovens regler skal derfor være opfyldt, for at en sådan behandling lovligt kan finde sted.

I læse mere her:

https://www.datatilsynet.dk/borger/internettet/billeder-paa-internettet/

Vedr. portrætbilleder skriver Datatilsynet:

“Som altovervejende udgangspunkt kræver det et samtykke at offentliggøre portrætbilleder på internet.”

Vedr. situationsbilleder, så er der nogle tilfælde, hvor man vil kunne offentliggøre sådanne uden samtykke - og andre tilfælde, hvor det vil være ulovligt. Datatilsynet skriver dette:

"Udgangspunktet er, at situationsbilleder kan offentliggøres uden samtykke med hjemmel i interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7.

Da der er tale om en helhedsvurdering af formålet med offentliggørelsen, skal offentliggørelse ske under skyldig hensyntagen til karakteren af billedet, herunder den sammenhæng, hvori billedet optræder og formålet med offentliggørelsen. Det afgørende kriterium er, at den afbildede ikke med rimelighed må kunne føle sig udstillet, udnyttet eller krænket, f.eks. i markedsførings eller andet kommercielt øjemed. Billederne skal således være harmløse"
(mine fremhævninger)

Persondataloven kan I finde her:

https://www.retsinformation.dk/Forms/R0710.aspx?id=828

Hvor I kan finde interesseafvejningsreglen i paragraf 6 stk 1 nr. 7:

" § 6. Behandling af oplysninger må kun finde sted, hvis

7) behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse."

For et politisk parti er det vigtigt at kende persondatalovens paragraf 7 stk. 1:

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.
(mine fremhævninger)

Der er altså et direkte forbud imod at behandle oplysninger om politisk overbevisning. Der er dog også undtagelser - f.eks. af hensyn til intern databehandling indenfor et politisk parti - eller af hensyn til retten mv…

Men der er - så vidt jeg kan se - kun én eneste af disse undtagelser, der kan bringes i anvendelse i forhold til offentliggørelse af persondata herunder billeder og videoer (f.eks. på Facebook). Nemlig undtagelsen i paragraf 7 stk. 2 nr 1:

"§ 7 Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse, hvis

1) den registrerede har givet sit udtrykkelige samtykke til en sådan behandling,"
(mine fremhævninger)

Og nu er vi tilbage ved starten af dette indlæg:
Nøgleordet er SAMTYKKE!


(Christine Madsen) #14

Tina Brixen skriver således om Persondataforordningen:

Æ N D R I N G S F O R S L A G:

Jeg vil foreslå, at der til Tine Brixen foreslåede § 20 tilføjes følgende:

“Hovedbestyrelsen er ligeledes forpligtet til at indrette procedurer, datasystemer, vejledninger, support og undervisning for Alternativets tillidsfolk på en sådan måde, at det bliver muligt for bestyrelser i lokal- og storkredsforeninger at leve op til Alternativets regler for beskyttelse og håndtering af persondata, herunder specifikt medlemmernes data.”

Samt at de foreslåede regler i minimumsvedtægterne tilføjes følgende:

“Jf. kravene til indretning af procedurer, datasystemer, vejledning, support og undervisning for Alternativets tillidsfolk i Landsvedtægternes §20”


DE SAMLEDE REGLER INKLUSIVE ÆNDRINGSFORSLAG:

(citat fra Tina)
"§ 20 - ændring fra ‘Tegning og økonomi’ til “Tegning, økonomi og data”

Hovedbestyrelsen er forpligtet til at etablere procedurer, der sikrer medlemmers, medarbejderes og samarbejdspartneres personlige oplysninger."

(Tilføjelse til §20 i mit ændringsforslag:)
"Hovedbestyrelsen er ligeledes forpligtet til at etablere procedurer, datasystemer, vejledninger, support og undervisning for Alternativets tillidsfolk på en sådan måde, at det bliver muligt for bestyrelser i lokal- og storkredsforeninger at leve op til Alternativets regler for beskyttelse og håndtering af persondata, herunder specifikt medlemmernes data."

(citat fra Tina)
i minimumsvedtægter

§ xx - ændring fra ‘Tegning og økonomi’ til “Tegning, økonomi og data”

Ny stk 7. “Bestyrelser i lokal- og storkredsforeninger er ansvarlige for at at leve op til Alternativets regler for beskyttelse og håndtering af persondata, herunder specifikt medlemmernes data.”

(tilføjelse i mit ændringsforslag)
"Jf. kravene til indretning af procedurer, datasystemer, vejledning, support og undervisning for Alternativets tillidsfolk i Landsvedtægternes §20"


B E G R U N D E L S E

Dette er en situation, hvor HB ikke kan vaske hændre for ansvar.

Det er HB der har beslutnngskompetencen og dermed ansvaret for, hvordan procedurer og IT-systemer indrettes - og hvilke vejledninger, support og undervisning, der etableres for Alternativets tillidsfolk.

Dermed er det også HB’s ansvar, at der etableres en reel mulighed for, at bestyrelser i lokal- og storkredsforeninger er i stand til at leve op til det ansvar, som HB gerne vil pålægge os i det af HB foreslåede nye stk 7 i minimumsvedtægterne

Bestyrelserne i lokal- og storkredsforeninger kan ikke påtage sig HB’s ansvar i forhold, som vi er uden indflydelse på.

Hvis HB’s forslag bliver vedtaget i den af Tine Brixen foreslåede form, så bliver det uacceptabelt risikabelt at påtage sig et bestyrelseshverv i Alternativet.


O P F O R D R I N G.

Venner: Er der nogle af jer derude, der kan forbedre formuleringen af mit ændringsforslag? Så hold jer ikke tilbage!

Hilsen Christine Madsen
kasserer i bestyrelsen for Københavns Omegns Storkreds


Husk at indsende jeres forslag
(Nis Benn) #15

Kære Christine

Alle input er helt relevant og matcher 100 % hvordan Hovedbestyrelsen tænker om problemstillingen.

HB vasker ikke hænder for ansvar. Lokalbestyrelser kan ikke slippe for ansvaret - og det kan HB heller ikke.

Jeg mener at din præcisering af rigtig, men unødvendig, da det er akkurat den tænkning (privacy-by-design), der kommer til udtryk i det åbne bilag, der ligger fra HBs møde d. 24.3, hvor emnet var på dagsordenen.

Derudover: Nej, man kan ikke stille ændringsforslag ifølge vores procedure - kun stille konkurrerende forslag. Dog: Hvis der er forslag, der ligger meget tæt op ad hinanden i intention og formulering, så vil vi samle forslagsstillere mellem forslagsfrist og udsendelsesfrist for at se, om de kan enes om ét forslag (indenfor rammerne af de oprindeligt indsendte), så Landsmødets tid kan spares.

Kh
Nis


(Christine Madsen) #16

Kære Nis

En præcisering i selve vedtægterne er nødvendig, da dette handler om ansvar.

Hilsen Christine


(Nis Benn) #17

Kære Christine

Jeg mener at din tekst er en mere omfattende måde at sige akkurat det samme, der står i HBs forslag. Jeg ville i hvert fald ikke gribe opgaven spor anderledes an eller fortolke lokale bestyrelsers ansvar anderledes.

Jeg kan i øvrigt garantere at vi ikke kommer til at være på plads med alt, hvad der kunne være smart at have på plads, når loven træder i kraft. Det forventes heller ikke fra lovgivers side. Dette er en omfattende og vanskelig proces for de fleste organisationer, og det skal det være forståelse for.

KH
Nis


(Palle Skov) #18

Jeg vil lige høre, da det ikke fremgår af bilaget til HB, om der i Alternativets dialog med de andre politiske foreninger på Christiansborg har været drøftet muligheden for at gå sammen om udarbejdelse af Adfærdskodeks for foreninger, der behandler data og personoplysninger der indeholder oplysning om personernes politiske tilhørsforhold?

Betænkning 1565 om Databeskyttelsesforordningen og de retlige rammer for dansk lovgivning skriver på siderne 588-589 følgende:

5.22. Adfærdskodekser, artikel 40
5.22.1. Præsentation
Efter persondatalovens § 74 kan brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige, i samarbejde med Datatilsynet udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i loven. Persondatalovens § 74 har sin baggrund i artikel 27 i databeskyttelsesdirektivet.
Bestemmelsen i persondatalovens § 74 ses indtil videre ikke at have haft nogen praktisk betydning i Danmark. Dette synes også i et vist omfang at være tendensen i de øvrige EUmedlemsstater.
I hvert fald har Kommissionen i en meddelelse om en global metode til beskyttelse af personoplysninger i EU fra 2010, forud for sit forslag til databeskyttelsesforordning fra 2012, bl.a. udtalt, at de gældende bestemmelser om selvregulering i databeskyttelsesdirektivet, nemlig muligheden for udarbejdelse af adfærdskodekser, hidtil sjældent er blevet anvendt, og at private interessenter ikke finder dem tilfredsstillende.
Ovennævnte udtalelse fra Kommissionen har således formentlig været medvirkende til, at der i databeskyttelsesforordningens artikel 40 om adfærdskodekser opstilles mere specifikke krav til adfærdskodeksers udfærdigelse, indhold og anvendelse. Det er stadig frivilligt, om man vil følge en godkendt adfærdskodeks eller ej, men overholdelsen af godkendte kodekser kan nu anvendes som et element til at påvise overholdelse af den dataansvarliges forpligtelser i henhold til forordningen, jf. artikel 24, stk. 3, og samtidig kan det lette arbejdet med den praktiske implementering af forordningen, og eventuelt medvirke til at reducere en bødes størrelse. (min fremfævning).

Min interesse for dette område er i al beskedenhed at bidrage til at min Bevægelse, mit Parti behandler data og personoplysninger på en både smart og lovmedholdelig måde. På en sådan måde, at ingen frivillig demotiveres af databeskyttelsesårsager fra at engagere sig i det for Alternativet meget vigtige organisatoriske arbejde på alle planer.

Vil det ikke være ret smart

  1. sammen med andre politiske bevægelser/partier at udarbejde et adfærdskodeks i samarbejde med Datatilsynet og
  2. at beslutte at bestemmelserne i et sådant kodeks er de centrale bestemmelser som al databehandling - centralt i Landsorganisationen og decentralt i alle lokal- og storkredsforeninger overholder.

Forslaget om udarbejdelse af adfærdskodeks er derfor også et forslag, der i databehandlingssammenhæng kunne tænkes en gang for alle at fjerne den lidt kunstige sondring mellem Landsorganisationen og foreningerne.
Hvis dialogen med de andre partier ikke har omfattet udarbejdelse af en fælles adfærdskodeks, var det måske værd at overveje at starte en sådan dialog.


(Christine Madsen) #19

Tak for dette, Palle :sparkler::bulb::sparkler:

Det lyder som en oplagt god idé at samarbejde med Datatilsynet og med de andre politiske foreninger repræsenteret på Christiansborg om et fælles branchekodeks for politiske foreninger. Så vi alle kan komme til at behandle data og personoplysninger smart og lovmedholdigt, som du skriver.

Flere øjne ser bedre sammen!

Er der nogle af jer med mere viden end jeg, der kan se nogle ulemper ved Palles forslag?