BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorganisationerne har udgivet en særlig vejledning om behandling af børneattester, som findes på DIFs og DGIs hjemmeside. Se nærmere i denne vejledning om, hvordan børneattester skal behandles. BRUG AF FACEBOOK Hvis I som forening benytter Facebook, skal dette dels beskrives i foreningens privatlivspolitik, dels overholde foreningens generelle retningslinjer for behandling af personoplysninger. Det betyder f.eks., at I selvfølgelig ikke lægger oplysninger på Facebook, som ikke må offentliggøres, og det betyder, at et opslag i en facebookgruppe indeholdende personoplysninger skal slettes i henhold til foreningens almindelige regler for sletning af personoplysninger, og. Det vil ofte være en god idé, at I over for frivillige og medlemmer fastsætter, hvad spillereglerne er på Facebook. En forening kan oprette facebookgrupper til sine hold til intern praktisk kommunikation på holdene. Der bør altid kun være tale om lukkede grupper. Foreningen bør opstille retningslinjer for gruppens virke, herunder om indhold og adgang. Foreningen selv bør så vidt muligt være administrator af gruppen, så det kan sikres, at foreningens persondatapolitik følges. . SIKKER E-MAIL Personoplysninger kan sendes via e-mail. Almindelige personoplysninger kan uden videre sendes via mail, fortrolige og følsomme oplysninger skal derimod som hovedregel sendes i krypteret form. Alle etablerede udbydere af mailsystemer anfører, at deres mails sendes i krypteret form; dette er f.eks. tilfældet for Outlook, Gmail og Hotmail. Kravet om kryptering gælder ved de oplysninger, der kan kategoriseres som fortrolige eller følsomme oplysninger. Det vil bl.a. sige følsomme oplysninger og oplysninger om strafbare forhold og CPR-nummer, men det gælder også visse mere almindelige, men dog fortrolige personoplysninger som f.eks. oplysninger om økonomiske forhold og ansættelsesforhold. Der stilles derimod f.eks. ikke krav om kryptering ved afsendelse af e-mails, der alene indeholder almindelige personoplysninger som navn, alder, turneringsdeltagelse, ranglistepoints m.v. I bør derfor anvende velkendte og etablerede mailsystemer eller anerkendte administrationssystemer for foreninger, og I skal sikre jer, at alle foreningsrepræsentanter benytter sikker mail, hvis de sender følsomme eller fortrolige oplysninger. I må aldrig sende fortrolige og følsomme oplysninger pr. SMS, da SMS ikke er en sikker kommunikationsform. VIDEREGIVELSE TIL SPONSORER OG ANDRE VIRKSOMHEDER Medlemsoplysninger må ikke videregives til en privat virksomhed, der gerne vil markedsføre produkter over for foreningens medlemmer. Sådan en videregivelse vil kræve samtykke fra det enkelte medlem. Som idrætsforening må I heller ikke udsende markedsføringsmateriale på vegne af en virksomhed til medlemmerne, uden at hvert enkelt medlem på forhånd har givet sit samtykke. Der må derimod gerne være reklamer i klubbladene, også klubblade der udgives over e-mail eller på anden måde i elektronisk form. Foreningen må heller ikke videregive billeder fra foreningens idrætsaktiviteter til sponsorers markedsføring uden forudgående samtykke fra de afbildede. Dette vil være i strid med de persondataretlige regler samt markedsføringsloven. SLETNING AF OPLYSNINGER Personoplysninger må kun opbevares, så længe det er relevant, set i forhold til det oprindelige saglige formål med at have oplysningerne. Som dataansvarlig skal I således løbende ajourføre jeres oplysninger og slette de oplysninger, der ikke længere tjener det oprindelige saglige formål. Almindelige oplysninger om medlemmer kan gemmes og behandles, så længe pågældende er medlem, og kan bruges til relevante formål i op til et år efter udmeldelsesåret. I denne periode kan der aktivt behandles personoplysninger, hvis der er en idrætsmæssig eller foreningsmæssig grund til det, f.eks. indberetninger til idrætsorganisationer. Næsten alle idrætsforeninger får tilskud fra kommunen efter folkeoplysningsloven, og kommunen fører kontrol med, at de tilskud, foreningen modtager, er korrekte. Herunder kan kommunens revisor gå flere år tilbage og kræve en medlemsoversigt for tilskudsåret; ifølge nogle kommuner fem år tilbage. Derfor skal foreningen opbevare den medlemsliste, der lå til grund for tilskuddet. Denne medlemsliste kan derfor passivt opbevares i op til fem år efter tilskudsåret, så medlemslisten fra eksempelvis 2014 først slettes ved udgangen af 2020. Almindelige oplysninger om ulønnede trænere og ledere bør slettes snarest efter, at de pågældende ophører med at virke for foreningen, men kan gemmes i op til 1 år efter. Relevante oplysninger om lønnede trænere for opfølgning og stillingtagen til eventuelle krav kan altid gemmes i 5 år efter fratrædelse. Oplysninger om idrætsdeltagelse og præstationer samt lederhverv i foreningen kan gemmes, så længe de har historisk værdi. Foreninger har en naturlig og berettiget interesser i at bevare sin historik, og klubblade, nyhedsbreve, referater, resultatlister o.l. kan derfor som hovedregel gemmes for altid. BØRN OG UNGE I nogle tilfælde kan børn og unge selv, altså uden forældresamtykke, afgive oplysninger til en dataansvarlig. Typisk vil en forening derfor lovligt kunne behandle oplysninger fra unge over 15 år. Foreningen kan uden forældreinddragelse videregive personoplysninger om børnene, når det er nødvendigt af hensyn til idrætsudøvelsen (til stævnearrangør, turneringsledelse, til udstyrsleverandør osv.). 11 VEJLEDNING TIL IDRÆTSFORENINGER OM BEHANDLING AF PERSONOPLYSNINGER 3. udgave, januar 2020 FORORD Idrætsforeninger har i mange år været underlagt regler i Persondataloven for behandling af personoplysninger. Men den 25. maj 2018 trådte nye regler i kraft, nemlig EUs persondataforordning og en ny dansk databeskyttelseslov. Denne vejledning er udarbejdet for at oplyse foreningerne om de kra INDHOLD Behandling af personoplysninger i idrætsforeninger 4 Hvad er personoplysninger? 5 Foreningen er dataansvarlig 5 Grundprincipper for behandling af personoplysninger 6 Foreningens behandling af personoplysninger 7 Fortegnelsespligt (dokumentationskrav) 8 Den registreredes rettighed BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at HVAD ER PERSONOPLYSNINGER? En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoint, kara GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medl FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellig BILAG Bilag 1 Eksempel på privatlivspolitik til opfyldelse af oplysningspligten Bilag 2 Skabelon til brug for opfyldelse af fortegnelsespligten (dokumentationskravet) Bilag 3 Eksempel på databehandleraftale 9 KONKRETE EKSEMPLER MEDLEMMER Foreningen kan uden videre registrere sine medlemmer i et medlemsregister. Det enkelte medlem har ret til indsigt i oplysninger om sig selv. Der må ikke ske offentliggørelse af medlemslister på foreningens hjemmeside, men foreningens egne medlemmer må godt kende medlems BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorgani DIF Brøndby Stadion 20, 2605 Brøndby Telefon 43 26 26 26 dif.dk DGI Vingsted Skovvej 1 7182 Bredsten Telefon 79 40 40 40 dgi.dk