Prozess Datenschutzerklärung überprüfen

[nchiapol]

Aktuell muss der Datenschutzerklärung zugestimmt werden.

• Im Rahmen der Selbstregistration / einer Kursanmeldung durch die Person selbst
• Bei einer Erfassung durch einen Adressverwalter durch diesen

Das Datenschutzgesetz verlangt gemäss Art 6. Absatz 7 nur für " die Bearbeitung von besonders schützenswerten Personendaten;" (sowie Profiling) eine explizite Zustimmung. Für alle anderen Infos wird gemäss bzw. Art. 19 eine Information verlangt über

1. die Identität und die Kontaktdaten des Verantwortlichen;
2. den Bearbeitungszweck;
3. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von
   Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben
   werden.

Die aktuellen Formulierungen:

1. Ich erkläre mich mit den folgenden Bestimmungen einverstanden:
2. Ich bestätige, dass ich das Einverständnis dieser Person oder ihrer erziehungsberechtigten Person für die folgenden Bestimmungen eingeholt habe:

Sind deshalb stärker als eigentlich nötig.

Vorschlag

Texte anpassen zu

1. Ich nehme die folgenden Datenschutzerklärungen zur Kenntnis:
2. Ich bestätige, dass diese Person oder ihre Erziehungsberechtigten über die Datenschutzerklärungen informiert wurde.

Ausserdem sollte eine Dokumentation erstellt werden, in dem das korrekte Vorgehen für diese Information gegenüber verschiedenen Kontakt-Klassen beschrieben wird:

• Teilnehmerinnen an Nachmittagsprogrammen / Lagern (bzw. deren Erziehungsberechtigten)
• Eltern (z.B. im Rahmen des Elternzugangs)
• Leiterinnen
• Spender
• Kontakte in anderen Vereinen / der politischen Gemeinde
• Kontakte bei Firmen / Lagerhäusern oder -plätzen /...

Weitere Gedanken

• Bei J+S Lagern muss zusätzlich (im Kleingedruckten) über die Bearbeitung in der NDS sowie die Weitergabe der Daten an die Rega informiert werden.
• Im Moment ist die hinterlegte Datenschutzerklärung nicht sichtbar auf Info-Tab der jeweiligen Ebene. Das wäre wohl eine sinnvolle Ergänzung

[nchiapol]

• Text-Anpassungen können wir via PR lösen (file: locales/views.de.yml)

• Anzeigen der DSE:
  in hitobito/app/views/groups/_attrs.html.haml

# correct link, wrong layout - breaks other groups
    = t('activerecord.attributes.group.privacy_policy')
    = link_to(safe_join([icon('file-alt'), ' ', entry.privacy_policy_title]), upload_url(entry, :privacy_policy), target: :blank)
# correct layout, wrong link
    = render_present_attrs(entry, :privacy_policy)

[nchiapol]

Für die Text-Anpassungen habe ich heute einen Pull-Request erstellt und Puzzle hat den gleich gemerged.

Offen ist also noch:

• Dokumentation verbessern
• Bestehende DSE anzeigen

[patrickuhlmann]

Ich habe in der FAQ von J+S folgenden Punkte gesehen:
"Die Teilnehmerinnen und Teilnehmer, die J+S-Kader sowie Helferinnen und Helfer eines im Rahmen von J+S bewilligten Anlasses gelten für die Dauer der Aktivitäten oder des Lagers als Gönnerinnen oder Gönner, sofern der J+S-Coach sie via NDS der Rega gemeldet hat."

(siehe https://www.jugendundsport.ch/de/die-haeufigsten-fragen-zu-js)

Entsprechend scheint es nicht zwingend zu sein die Daten der REGA mitzuteilen. Der J+S Coach kann das wohl selber bestimmen. Somit müsste das im Kleingedruckten nur erwähnt werden, falls man die Daten effektiv weitergeben möchte.

[nchiapol]

@patrickuhlmann Korrekt, die Weitergabe an die Rega ist nicht zwingend. Soweit ich das beurteilen kann aber der Regelfall - und selbst wenn es nur einzelne Lager sind sollte das via DB abgebildet werden können.