Persondata i foreninger

Persondata i foreninger
Databeskyttelse og persondataforordning. Begge dele lyder
knastørt. Men ikke desto mindre er det EU’s Persondataforordning
og databeskyttelsesloven, der danner ramme for de
grundlæggende regler for datasikkerhed.
1

Grundlæggende 4 tommelfingerregler
1
2
Som forening skal I altid have et sagligt formål med at behandle
personoplysninger og begrænse behandlingen til det, der er nødvendigt i forhold
til det saglige formål.
I skal kunne dokumentere, at I har overblik over jeres behandling af
personoplysningerne: Hvilke personoplysninger behandles, hvem behandler dem,
hvor arkiveres de m.v. Dette skal beskrives i en såkaldt fortegnelse.
3
4
I skal orientere de registrerede (medlemmer, trænere m.v.) om hvilke
personoplysninger der behandles og hvorfor. Dette kan ske i en
privatlivspolitik.
I skal have en passende datasikkerhed, og I skal i nogle tilfælde anmelde brud på
sikkerheden til Datatilsynet.
Jeres opgaver
1
2
3
4
5
6
7
Beslut hvem der er jeres dataansvarlig og som skal holde styr på foreningens
personoplysninger.
Udfyld bilag 1 (privatlivspolitik) og gør den tilgængelig på jeres hjemmeside, eller
send det ud til jeres medlemmer - det er jeres oplysningspligt!
Udfyld bilag 2 (fortegnelse) og opbevar denne.
Kortlæg hvilke personer, i jeres forening, der håndterer personoplysninger.
Sørg for at disse personer kender de beskrevne procedurer i privatlivspolitikken
og fortegnelsen og følger dem.
Kortlæg om I bruger databehandlere (Google Drev, Dropbox, Gmail, Hotmail,
m.m.). Hvis jeres forening anvender en databehandler, skal I indgå en
databehandleraftale. Kontakt jeres databehandlere og forhør jer, om de laver en
standardaftale, eller om I skal lave en. Brug evt. Bilag 3 som skabelon.
Ryd op i de informationer I har liggende.
2

Begreber
Databehandling
Dataansvarlig
Databehandler
At indsamle, opbevare, anvende eller videregive
personoplysninger.
Den person i foreningen, som har ansvar for persondatas
behandling.
En leverandør som af den dataansvarlige ‘købes’ til at behandle
persondata for den dataansvarlige, fx Google Drev og diverse
mailudbydere.
Dokumenter
Privatlivspolitik
Privatlivspolitikken skal orientere de registrerede (medlemmer,
trænere m.v.) om, hvilke oplysninger der behandles og hvorfor.
Privatlivspolitikken skal være lettilgængelig for de personer, der er
registreret i foreningen, fx på foreningens hjemmeside.
Fortegnelse
Fortegnelsen er dokumentation for, at foreningen behandler
personoplysninger i overensstemmelse med kravene i
persondataforordningen.
Fortegnelsen er til internt brug og skal ikke foreligge på
foreningens hjemmeside eller på anden måde udleveres til de
registrerede i foreningen.
Databehandleraftale
Databehandleraftalen beskriver og regulerer dataansvaret mellem
foreningen (som dataansvarlig) og en databehandler
De fleste databehandlere udarbejder standardaftaler, som
foreninger blot skal underskrive. Det er dog foreningernes ansvar,
at de indgåede aftaler følger loven.
Gratis brug af IT-system stiller også krav om databehandleraftale.
3

Hvor følsomme er personoplysningerne?
Almindelige
personoplysninger
Følsomme
personoplysninger
●
●
●
●
●
●
●
Navn
Adresse
Køn
Indmeldelsesdato
Telefonnummer
Fødselsdag
E-mailadresse
●
●
●
●
●
●
●
●
Strafbare forhold
CPR-nummer
Race eller etnisk oprindelse
Politisk, religiøs eller filosofisk overbevisning
Fagforeningsmæssigt tilhørsforhold
Genetiske data og biometriske data med det formål
entydigt at identificere en fysisk person
Helbredsoplysninger
En persons seksuelle forhold eller seksuelle orientering.
Interesseafvejningsreglen
OBS! Interesseafvejningsreglen kan kun anvendes ved almindelige personoplysninger.
Interesseafvejningsreglen handler om, hvornår man må behandle data. Den
dataansvarliges skal afveje sin berettigede interesse vs. den registreredes interesse.
Den dataansvarlige skal oplyse om overordnede legitime interesser i sin privatlivspolitik.
Eksempler hvor foreninger må videregive personoplysninger, jf.
interesseafvejningsreglen:
●
●
●
I må videregive stamoplysninger på en træner til idrætsorganisationer, fx.
Rullesport Danmark og Danmarks Idrætsforbund (DIF).
I må lægge jeres træneres kontaktoplysninger på jeres hjemmeside og udlevere til
jeres medlemmer.
I må udlevere en holdliste med kontaktoplysninger på børn og forældre for et
børnehold til deltagerne på holdet.
4

Sletning
Regler for sletning af almindelige personoplysninger:
Lønnede ledere og trænere
Ulønnede ledere og træner
Medlemmer
Bogføringsbilag
Oplysninger af historisk værdi
Kalenderåret + 5 år efter arbejdets ophør
(kontraktopfølgning)
Senest 1 år efter virkets ophør
(praktiske og administrative hensyn)
Udmeldelsesåret + 3 år efter oprindeligt formåls ophør
(af hensyn til kommunalt krav om tilskud)
Kalenderåret + 5 år
(bogføringsloven)
Ingen tidsgrænse
OBS! Anmodning om sletning vejer tungt!
Følsomme personoplysninger skal som udgangspunkt slettes ved behandlingsformålets
ophør, dog ikke hvis fortsat behandling er påkrævet ved lov.
Samtykke
Langt hovedparten af de behandlinger, som en forening foretager, kan ske på baggrund
af interesseafvejningsreglen. Som absolut hovedregel er det altså ikke nødvendigt at
indhente et samtykke.
Vær opmærksom på at foreningen IKKE frit må behandle følsomme personoplysninger
som fx helbredsforhold eller sociale forhold i familien. Dette vil kræve samtykke fra de
involverede personer.
5

Rettigheder
Medlemmer og frivillige har følgende rettigheder:
●
●
●
●
●
●
●
Ret til at blive oplyst om behandlingen af data
Ret til indsigt i egne personoplysninger
Ret til berigtigelse
Ret til sletning
Ret til begrænsning af behandling
Ret til dataportabilitet
Ret til indsigelse
Bilag
Download bilag 1 Privatlivspolitik
Download bilag 2 Fortegnelse
Download bilag 3 Databehandleraftale
Brug for hjælp?
DIF og DGI har udarbejdet Vejledning til idrætsforeninger om behandling af
persondataoplysninger, som giver svar på de vigtigste spørgsmål om
persondataforordningen.
Finder du ikke det svar på dine spørgsmål i vejledningen, så skriv til
mn@rullesport.dk.
Se persondataloven her.
6