GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medlemmers navn, adresse, telefonnummer og fødselsdato og lignende i medlemsregistret tjener et sagligt formål. Derimod er der normalt ikke noget sagligt formål med f.eks. at registrere oplysninger om medlemmernes job eller deres medlemskab af andre foreninger. 2. I må ikke behandle flere oplysninger end nødvendigt i forhold til det saglige formål. En idrætsforening må altså behandle de medlemsoplysninger, som er nødvendige, for at foreningen kan fungere og servicere sine medlemmer. Men ikke flere. Det er i de fleste foreninger unødvendigt at behandle CPR-nummer på medlemmer, mens det er nødvendigt at behandle CPR-nummer på lønnede trænere og ved indhentelse af børneattester. 3. Herudover skal de registrerede oplysninger altid være korrekte og relevante. Det betyder f.eks., at I skal rette eller slette oplysninger, som viser sig at være urigtige eller vildledende. 4. Desuden gælder det for enhver form for behandling af personoplysninger, at behandlingen skal baseres på en af de lovlige grunde, som oplistes i forordningen dette kaldes en behandlingshjemmel. FORENINGENS BERETTIGEDE (LEGITIME) INTERESSER 6 Lovlig databehandling kan ske på flere grundlag. Som hovedeksempler kan nævnes: Foreningens berettigede interesse i at behandle oplysninger. Denne interesseafvejningsregel betyder, at foreningens saglige formål med at behandle oplysningen skal være stærkere end de eventuelle modstående hensyn til den registrerede, der måtte være. At det er nødvendigt for at opfylde en kontrakt med den pågældende. Særskilte medlemsbetingelser kan eksempelvis anvendes som en kontrakthjemmel. En kontrakt kan også være en aftale om køb af klubtøj eller billet til en halfest. Behandling efter lovkrav, f.eks. skatteindberetning. Behandling med samtykke, f.eks. ved registrering af helbredsoplysninger og skader. Langt hovedparten af de behandlinger, som en forening foretager, kan ske på baggrund af interesse-afvejningsreglen. Som absolut hovedregel er det således unødvendigt at indhente et samtykke forud for foreningens behandling af personoplysninger om sine medlemmer. Og I bør ikke benytte samtykke, hvis der allerede findes en anden behandlingshjemmel, bl.a. fordi det medfører en efterfølgende administration og dokumentation af samtykkerne. Illustration af interesseafvejningsreglen: HENSYN TIL DEN REGISTREREDE PERSON VEJLEDNING TIL IDRÆTSFORENINGER OM BEHANDLING AF PERSONOPLYSNINGER 3. udgave, januar 2020 FORORD Idrætsforeninger har i mange år været underlagt regler i Persondataloven for behandling af personoplysninger. Men den 25. maj 2018 trådte nye regler i kraft, nemlig EUs persondataforordning og en ny dansk databeskyttelseslov. Denne vejledning er udarbejdet for at oplyse foreningerne om de kra INDHOLD Behandling af personoplysninger i idrætsforeninger 4 Hvad er personoplysninger? 5 Foreningen er dataansvarlig 5 Grundprincipper for behandling af personoplysninger 6 Foreningens behandling af personoplysninger 7 Fortegnelsespligt (dokumentationskrav) 8 Den registreredes rettighed BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at HVAD ER PERSONOPLYSNINGER? En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoint, kara GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medl FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellig BILAG Bilag 1 Eksempel på privatlivspolitik til opfyldelse af oplysningspligten Bilag 2 Skabelon til brug for opfyldelse af fortegnelsespligten (dokumentationskravet) Bilag 3 Eksempel på databehandleraftale 9 KONKRETE EKSEMPLER MEDLEMMER Foreningen kan uden videre registrere sine medlemmer i et medlemsregister. Det enkelte medlem har ret til indsigt i oplysninger om sig selv. Der må ikke ske offentliggørelse af medlemslister på foreningens hjemmeside, men foreningens egne medlemmer må godt kende medlems BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorgani DIF Brøndby Stadion 20, 2605 Brøndby Telefon 43 26 26 26 dif.dk DGI Vingsted Skovvej 1 7182 Bredsten Telefon 79 40 40 40 dgi.dk