BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at behandle personoplysninger (indsamle, opbevare, anvende, videregive osv.) har forordningens bestemmelser i ret vid udstrækning samme indhold som reglerne i persondataloven fra 2000 havde. Forordningen medfører derimod en skærpelse af nogle af de mere formelle pligter, der følger med, når I behandler personoplysninger, f.eks. forpligtelser om dokumentation for, hvordan I behandler personoplysningerne, og om orientering af den registrerede. En EU-forordning indfører fælles regler for hele EU, og muligheden for at afvige fra forordningen i hvert enkelt land er begrænset. Forordningen er i Danmark blevet suppleret med databeskyttelsesloven, og der er udgivet en række vejledninger fra Datatilsynet om, hvordan forordningens bestemmelser skal forstås og anvendes i praksis. Find en oversigt og Datatilsynets vejledninger her. Justitsministeriet har også udarbejdet en vejledning til almennyttige foreninger. Find vejledningen her. Hovedlinjer i forordningen En vejledning som denne kan naturligvis kun give generelle anvisninger og kan ikke beskrive alle varianter af persondataspørgsmål i 12.000 idrætsforeninger. Men vejledningen vil give svar på de spørgsmål, som er fælles for langt de fleste idrætsforeninger. Helt overordnet stiller forordningen fire hovedkrav til behandlingen af personoplysninger: 4 1. I skal altid have et sagligt formål med at behandle personoplysninger, og I skal begrænse behandlingen til det, der er nødvendigt i forhold til det saglige formål. 2. I skal kunne dokumentere, at I har overblik over jeres behandling af personoplysningerne: Hvilke oplysninger behandles, hvem behandler dem, hvor arkiveres de m.v. Dette skal beskrives i en såkaldt fortegnelse. 3. I skal orientere den registrerede (medlemmer, trænere m.v.) om, hvilke oplysninger der behandles og hvorfor. Dette kan ske i en privatlivspolitik. 4. I skal have en passende datasikkerhed, og I skal i nogle tilfælde anmelde brud på sikkerheden til Datatilsynet. Alt dette beskrives nærmere i det følgende. Det er et gennemgående princip i forordningen, at I som dataansvarlig skal have overvejet og taget beslutning om de nævnte forhold, og at I skal kunne dokumentere jeres vurderinger over for Datatilsynet. Det er derimod ikke sådan, at der efter forordningen kun findes én rigtig løsning for, hvordan en forening organiserer sin behandling af personoplysninger. Lidt forenklet sagt kræver forordningen, at I som dataansvarlig har vurderet forholdene og truffet fornuftige beslutninger, mens den konkrete løsning kan variere fra forening til forening. I en række tilfælde stiller forordningen ikke de samme krav til idrætsforeninger som til f.eks. offentlige myndigheder eller store virksomheder. Som bestyrelsesmedlem og leder skal du derfor være opmærksom på, at I ikke altid behøver at efterleve de samme krav i foreningen, som I møder i andre sammenhænge, f.eks. på jeres arbejdsplads. VEJLEDNING TIL IDRÆTSFORENINGER OM BEHANDLING AF PERSONOPLYSNINGER 3. udgave, januar 2020 FORORD Idrætsforeninger har i mange år været underlagt regler i Persondataloven for behandling af personoplysninger. Men den 25. maj 2018 trådte nye regler i kraft, nemlig EUs persondataforordning og en ny dansk databeskyttelseslov. Denne vejledning er udarbejdet for at oplyse foreningerne om de kra INDHOLD Behandling af personoplysninger i idrætsforeninger 4 Hvad er personoplysninger? 5 Foreningen er dataansvarlig 5 Grundprincipper for behandling af personoplysninger 6 Foreningens behandling af personoplysninger 7 Fortegnelsespligt (dokumentationskrav) 8 Den registreredes rettighed BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at HVAD ER PERSONOPLYSNINGER? En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoint, kara GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medl FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellig BILAG Bilag 1 Eksempel på privatlivspolitik til opfyldelse af oplysningspligten Bilag 2 Skabelon til brug for opfyldelse af fortegnelsespligten (dokumentationskravet) Bilag 3 Eksempel på databehandleraftale 9 KONKRETE EKSEMPLER MEDLEMMER Foreningen kan uden videre registrere sine medlemmer i et medlemsregister. Det enkelte medlem har ret til indsigt i oplysninger om sig selv. Der må ikke ske offentliggørelse af medlemslister på foreningens hjemmeside, men foreningens egne medlemmer må godt kende medlems BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorgani DIF Brøndby Stadion 20, 2605 Brøndby Telefon 43 26 26 26 dif.dk DGI Vingsted Skovvej 1 7182 Bredsten Telefon 79 40 40 40 dgi.dk