FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellige typer af oplysninger. Den dataansvarlige skal så at sige sikre sig, at der er styr på tingene og skal kunne dokumentere, at det er tilfældet. Idrætsforeninger er omfattet af denne fortegnelsespligt i fuldt omfang. Fortegnelsen skal beskrive foreningens behandling af alle former for personoplysninger, både behandlingen af almindelige personoplysninger og personoplysninger med en højere grad af beskyttelse (f. eks. følsomme personoplysninger). Foreningen behandler almindelige personoplysninger om sine medlemmer bl.a. ved administration af medlemsregistret og i forbindelse med medlemmernes deltagelse i træning, konkurrence og uddannelse. En forening behandler desuden ofte oplysninger, der er tillagt en højere grad af beskyttelse, om sine frivillige. F.eks. oplysninger om CPR-nummer (løn, sikkerheds- og vandelstjek m.v.) og om strafbare forhold (børneattester). Der er vedhæftet en skabelon til vejledningen (bilag 2), som kan benyttes til at udarbejde denne fortegnelse. Foreningen går sine personoplysninger igennem efter systematikken i skabelonen, tager stilling til de rejste spørgsmål i skabelonen, og udfylder og arkiverer skabelonen. Husk at vedligeholde fortegnelsen løbende. Og husk i praksis at følge de principper, der er beskrevet i fortegnelsen Instruks til lederne I kan overveje at udarbejde en instruks til de ledere og trænere, der behandler personoplysninger i foreningen. Instruksen kan angive hvilke forhold og krav trænere eller ledere skal være særligt opmærksomme på før, under og efter deres virke i foreningen. Dette kan sikre, at I som forening rent faktisk lever op til de retningslinjer, som I selv har opstillet i privatlivspolitikken og fortegnelsen. DEN REGISTREREDES RETTIGHEDER Den registrerede har efter forordningen en række rettigheder om f.eks. indsigt i oplysninger om sig selv, om korrektion af forkerte oplysninger og om indsigelse (f.eks. anmodning om sletning) vedrørende foreningens behandling. Kontakt gerne en af hovedorganisationerne, hvis I får henvendelser om disse forhold. BRUD PÅ SIKKERHEDEN Hvis I som dataansvarlig ved et uheld kommer til at lække oplysninger, bliver hacket eller på anden vis oplever et brud på datasikkerheden, skal der i nogle tilfælde ske anmeldelse af forholdet til Datatilsynet. I bør søge vejledning herom hos jeres hovedorganisation, før I iværksætter en anmeldelse. Anmeldelse skal som udgangspunkt ske senest 72 timer efter, at I har opdaget sikkerhedsbruddet. 8 Det kan være en god idé på forhånd at have en plan for, hvem i foreningen der skal tage sig af at anmelde et sikkerhedsbrud, hvis det skulle forekomme. VEJLEDNING TIL IDRÆTSFORENINGER OM BEHANDLING AF PERSONOPLYSNINGER 3. udgave, januar 2020 FORORD Idrætsforeninger har i mange år været underlagt regler i Persondataloven for behandling af personoplysninger. Men den 25. maj 2018 trådte nye regler i kraft, nemlig EUs persondataforordning og en ny dansk databeskyttelseslov. Denne vejledning er udarbejdet for at oplyse foreningerne om de kra INDHOLD Behandling af personoplysninger i idrætsforeninger 4 Hvad er personoplysninger? 5 Foreningen er dataansvarlig 5 Grundprincipper for behandling af personoplysninger 6 Foreningens behandling af personoplysninger 7 Fortegnelsespligt (dokumentationskrav) 8 Den registreredes rettighed BEHANDLING AF PERSONOPLYSNINGER I IDRÆTSFORENINGER Persondataloven blev erstattet af persondataforordningen (også kaldet GDPR) den 25. maj 2018. I denne vejledning beskrives de vigtigste konsekvenser for idrætsforeninger af de nye regler i forordningen. Når det drejer sig om selve muligheden for at HVAD ER PERSONOPLYSNINGER? En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoint, kara GRUNDPRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Når I som dataansvarlig behandler personoplysninger, skal I følge nogle fundamentale regler om god databehandlingsskik. De er følgende: 1. Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Almindelig registrering af medl FORENINGENS BEHANDLING AF PERSONOPLYSNINGER Når en idrætsforening herefter behandler personoplysninger, er der fem væsentlige spørgsmål, der skal overvejes: 1. Hvilke oplysninger må vi registrere og gemme m.v.? Som idrætsforening er I naturligvis nødt til at have et register over jeres medlemmer. FORTEGNELSESPLIGT (DOKUMENTATIONSKRAV) Med fortegnelsespligten menes, at foreningen skal dokumentere, hvordan personoplysninger behandles. Enhver dataansvarlig skal have en intern fortegnelse over, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til de forskellig BILAG Bilag 1 Eksempel på privatlivspolitik til opfyldelse af oplysningspligten Bilag 2 Skabelon til brug for opfyldelse af fortegnelsespligten (dokumentationskravet) Bilag 3 Eksempel på databehandleraftale 9 KONKRETE EKSEMPLER MEDLEMMER Foreningen kan uden videre registrere sine medlemmer i et medlemsregister. Det enkelte medlem har ret til indsigt i oplysninger om sig selv. Der må ikke ske offentliggørelse af medlemslister på foreningens hjemmeside, men foreningens egne medlemmer må godt kende medlems BØRNEATTESTER Børneattester skal indhentes på trænere og ledere, der har med børn og unge under 15 år at gøre. Foreningen kan beholde dokumentationen for, at der er indhentet børneattest, så længe den pågældende person arbejder for foreningen. Dette skal oplyses over for den pågældende. Hovedorgani DIF Brøndby Stadion 20, 2605 Brøndby Telefon 43 26 26 26 dif.dk DGI Vingsted Skovvej 1 7182 Bredsten Telefon 79 40 40 40 dgi.dk