FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. De oplysninger en idrætsforening typisk registrerer om sine medlemmer hører til kategorien af almindelige personoplysninger, f.eks. navn, adresse, indmeldelsesdato, telefonnummer, fødselsdato, e-mailadresse, tillidsposter og andre hverv i relation til foreningen. Denne type oplysninger kan foreningen uden videre behandle på grundlag af interesseafvejningsreglen. Derimod må foreningen ikke frit behandle oplysninger om f.eks. helbredsforhold eller andre følsomme oplysninger (f.eks. astma hos børn eller sociale forhold i familien). En sådan behandling kan som regel kun ske med samtykke fra de involverede personer. Alle personoplysninger skal slettes, når de ikke længere har relevans for foreningen. Se nærmere under eksempler. 2. Hvad skal vi fortælle vores medlemmer, når vi registrerer oplysninger om dem? Hvad betyder oplysningspligt og privatlivspolitik? Medlemmer og frivillige skal informeres om, hvad foreningens formål er med at behandle personoplysninger om dem, og hvor længe oplysningerne opbevares. Disse oplysninger skal gives fra det tidspunkt, hvor oplysningerne behandles. Denne oplysningspligt kan opfyldes ved at offentliggøre en privatlivspolitik, der beskriver de pågældende forhold. Privatlivspolitikken skal være tilgængelig for foreningens medlemmer og ledere, f.eks. på foreningens hjemmeside, og ved selvbetjeningsløsninger skal der være en henvisning til foreningens privatlivspolitik. Pligten kan også opfyldes ved at udlevere privatlivspolitikken i fysisk form. Der er vedlagt en skabelon til vejledningen om dette (bilag 1). 3. Hvad må vi gøre med oplysninger om vores medlemmer? De oplysninger, som foreningen har registreret om medlemmerne, må kun anvendes i overensstemmelse med det formål, som de oprindeligt er indsamlet til. Der vil være en ret vid adgang for foreningen til at udveksle personoplysninger med f.eks. specialforbund eller landsdelsforening som led i turneringsafvikling, kurser, stævner og anden idrætsaktivitet. Dette forhold skal omtales i foreningens privatlivspolitik. Hvis foreningen ønsker at videregive oplysninger om medlemmerne til andre uden for organisationerne, vil det normalt kræve samtykke fra hver enkelt person. 4. Hvad må vi gøre med oplysninger om vores trænere og frivillige? Når det kommer til behandling af personoplysninger på trænere og frivillige, så vil der i flere henseender være behov for at behandle personoplysninger, der er tillagt en højere grad af beskyttelse. F.eks. kræves CPR-nummer i forhold til indberetning af skat, ligesom indhentelse af børneattest også kræver CPR-nummer og kan medføre behandling af oplysninger om seksuelle og strafbare forhold. Der vil generelt være vid adgang til registrering og videregivelse af kontaktoplysninger til hovedorganisationerne om trænere og frivillige ledere. Grundlaget for registrering og videregivelse skal beskrives i fortegnelsen og skal fremgå af privatlivspolitikken, så behandlingen er oplyst og begrundet over for den registrerede, og så dette kan dokumenteres over for Datatilsynet. 5. Hvilke krav stilles der til datasikkerheden og dokumentation i foreningen? En dataansvarlig skal sørge for, at behandlingen af personoplysninger sker med en passende sikkerhed. Det vil sige, at der kun må være adgang til oplysningerne for foreningens ledelse (bestyrelsesmedlemmer, ledere m.v.), og at der skal være tilstrækkelig it-sikkerhed med bl.a. brug af et sikkert password og firewall. Ved cloud-baserede løsninger skal cloud-udbyderen i foreningens databehandleraftale med denne kunne garantere for sikkerheden, og foreningen skal vurdere om løsningen er sikker nok. Brug af ekstern databehandler Hvis I benytter ekstern hjælp til at behandle jeres personoplysninger, er denne eksterne part databehandler. Dette kan bl.a. være tilfældet vedbrug af administrationssystemer, mailsystemer, cloud-løsninger og systemer til lønadministration, der drives af private virksomheder. I sådanne tilfælde skal der foreligge en databehandleraftale mellem foreningen og databehandleren. De fleste databehandlere har standardaftaler til dette formål, som I kan benytte. Som alternativ er der vedlagt en skabelon for en databehandleraftale (bilag 3), som I ellers kan bringe på banen. Bemærk, at idrættens hovedorganisationer normalt ikke er databehandlere for foreninger, selv om de behandler personoplysninger, der stammer fra foreningerne. Det skyldes, at disse personoplysninger behandles i hovedorganisationerne til disse organisationers egne formål og ikke behandles for foreningerne. Fælles dataansvar Hvis flere organisationer er fælles om at behandle personoplysninger, har de et fælles dataansvar for behandlingen. I sådanne tilfælde skal de dataansvarlige indgå en fælles dataansvarsaftale, der fastlægger formålene med behandlingen og den overordnede ansvarsfordeling. Datatilsynet har udarbejdet en standardskabelon til en aftale om fælles dataansvar. Skabelonen kan du finde her. I nogle tilfælde vil foreninger indgå i et sådant fælles dataansvar, f.eks. ved et holdsamarbejde med en anden forening, eller ved fælles behandling af personoplysninger, hvor flere foreninger afholder et motionsløb. I flerstrengede foreninger med selvstændige afdelinger, er en aftale om fælles dataansvar som regel ikke nødvendig. Ligesom ved databehandlerspørgsmålet indgår foreninger normalt ikke i et fælles dataansvar med idrættens hovedorganisationer, selv om det ofte kan være de samme personoplysninger, der behandles. Det skyldes som nævnt, at de forskellige organisatoriske led har forskellige formål med behandlingen af personoplysningerne. 7 VEJLEDNING TIL IDRÆTSFORENINGER OM BEHANDLING AF PERSONOPLYSNINGER 3. udgave, januar 2020 FORORD Idrætsforeninger har i mange år været underlagt regler i Persondataloven for behandling af personoplysninger. Men den 25. maj 2018 trådte nye regler i kraft, nemlig EUs persondataforordning og en ny dansk databeskyttelseslov. Denne vejledning er udarbejdet for at oplyse foreningerne om de kra INDHOLD Behandling af personoplysninger i idrætsforeninger 4 Hvad er personoplysninger? 5 Foreningen er dataansvarlig 5 Grundprincipper for behandling af personoplysninger 6 Foreningens behandling af personoplysninger 7 Fortegnelsespligt (dokumentationskrav) 8 Den registreredes rettighed BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at HVAD ER PERSONOPLYSNINGER? En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoint, kara GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medl FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellig BILAG Bilag 1 Eksempel på privatlivspolitik til opfyldelse af oplysningspligten Bilag 2 Skabelon til brug for opfyldelse af fortegnelsespligten (dokumentationskravet) Bilag 3 Eksempel på databehandleraftale 9 KONKRETE EKSEMPLER MEDLEMMER Foreningen kan uden videre registrere sine medlemmer i et medlemsregister. Det enkelte medlem har ret til indsigt i oplysninger om sig selv. Der må ikke ske offentliggørelse af medlemslister på foreningens hjemmeside, men foreningens egne medlemmer må godt kende medlems BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorgani DIF Brøndby Stadion 20, 2605 Brøndby Telefon 43 26 26 26 dif.dk DGI Vingsted Skovvej 1 7182 Bredsten Telefon 79 40 40 40 dgi.dk