Guide

DATABESKYTTELSE & GDPR

Foreningen behandler personoplysninger om både medlemmer og frivillige og er derfor omfattet af GDPR. Det betyder, at I skal sikre en ansvarlig og korrekt håndtering af de oplysninger, I opbevarer og bruger i foreningsarbejdet.

Denne guide giver et overblik over de vigtigste GDPR-krav – herunder ansvar og roller, dokumentation, privatlivspolitik, databehandleraftaler og sikker opbevaring af data – så I kan skabe tryghed for medlemmerne og leve op til lovgivningen.

Hvad er personoplysninger?

En personoplysning er enhver form for oplysning om en person, der kan bruges til at identificere vedkommende. Det er blandt andet navn, adresse og telefonnummer.

Personoplysninger kan inddeles i to hovedgrupper:

Almindelige personoplysninger er blandt andet:

  • navn, kontaktoplysninger 
  • fødselsdag, familieforhold
  • dato for indmeldelse.

     

Personoplysninger med en højere grad af beskyttelse:

  • Følsomme personoplysninger, for eksempel helbredsoplysninger eller religiøs overbevisning m.m.
  • Oplysninger om strafbare forhold
  • CPR-nummer, portrætbilleder

Foreningen er dataansvarlig​

Alle foreninger behandler og opbevarer personoplysninger, når I har etableret et almindeligt medlemsregister.

Derfor bliver I dataansvarlige, og så er foreningen omfattet de krav, som ligger i forordningen om god og ordentlig databehandling.

Bestyrelsen i foreningen skal vælge en dataansvarlig, som skal holde styr på foreningens personoplysninger.

Find ud af, hvor I opbevarer personoplysninger

Hvis I bruger Coding Pirates medlemssystem, så håndteres mange af disse ting fra medlemssystemets side. 

Hvis I ikke bruger Coding Pirates Denmarks medlemssystem, så skal I være opmærksomme på, hvor I opbevarer foreningens personoplysninger for at beskytte og I kan gøre følgende:

  • opsætte brugerrettigheder
  • undgå utilsigtet deling af oplysninger
  • slette oplysninger, når de ikke skal bruges længere
  • slette oplysninger, når samtykke er trukket tilbage
  • finde databehandlere, som behandler oplysninger på foreningens vegne
  • informere personen om de oplysninger I gemmer

     

I kan f.eks finde foreningens personoplysninger her:

  • Medlemsdatabase, regneark
  • E-mails, SMS’er, chatbeskeder 
  • Telefoner, tablets, computere, USB-drev
  • Printet materiale

OBS! Det er vigtigt, at I opbevarer så få personoplysninger så få steder som muligt.

Fortegnelse (Dokumentationskrav)

Fortegnelsespligten betyder, at foreningen skal dokumentere, hvilke personoplysninger der behandles, hvorfor de behandles, og hvem der har adgang til dem. Den dataansvarlige skal kunne sikre og dokumentere, at der er styr på behandlingen. Fortegnelsen er et internt dokument.

Når I udarbejder fortegnelsen, så skaber I også et overblik over de personoplysninger som foreningen behandler.

I kan se og downloade en skabelon til en fortegnelse her.

Eksemplerne i skabelonen er alle baseret på fortegnelser og arbejdsgange i Coding Pirates Denmark. Personoplysningerne behandles af

  • Coding Pirates Danmarks medlemssystem
  • En sikker mail løsning og E-boks til indsamling af børneattester

Skabelonen er kun et udgangspunkt for den færdige fortegnelse, som udarbejdes af foreningen, der har det endelige ansvar.

Hvis I bruger andre systemer, skal I lave en fortegnelse for dette. I kan downloade en tom skabelon her.

I fortegnelsen skal I svare på:

I skal oplyse foreningens navn, CVR-nummer, kontaktoplysninger og den dataansvarliges oplysninger.

Medlemshåndtering, arrangere aktiviteter herunder at opkræve kontingent

Det kan f.eks. være medlemmer, frivillige og deltagere.

Eksempelvis almindelige oplysninger såsom navn, adresse og e-mail.

OBS! Det er vigtigt at tjekke, om der er personoplysninger med en højere grad af beskyttelse som f.eks. CPR-nummer. 

Her skal I overveje at anvende sikker mail til at sende oplysningerne, og slette CPR-nummeret så hurtigt som muligt.

Det kan for eksempel være til danske myndigheder eller Coding Pirates medlemssystem.

Hvis I overfører personoplysninger til en virksomhed placeret i et land udenfor EU/EØS, så er det et tredjeland, der kræver et overførselsgrundlag. 

Det kunne for f.eks. være Protonmail, som ligger i Schweiz, der er på EUs liste over sikre tredjelande. 

I skal også angive, hvem I overfører oplysninger om og hvilke oplysninger, der er tale om.

Her skal foreningen oplyse, hvornår I sletter personoplysninger om medlemmer.

Det kan for eksempel være CPR-numre efter indhentning af børneattest, lister over frivillige eller deltagere.

Hvis I bruger Coding Pirates Denmark medlemssystem, så anonymiseres personoplysninger som beskrevet i privatlivspolitikken for medlemssystemet. I kan kontakte sekretariatet [email protected].

Her angiver I f.eks. adgangskontrol, kryptering ved opbevaring, kryptering ved overførsel, og eventuelle personoplysninger med højere grad af beskyttelse.

Det kan for eksempel være:

  • At det er nødvendigt for, at vi kan opfylde en aftale
  • At loven stiller krav om, at vi behandler dem

Vi bruger en eller flere af disse retlige grundlag – artikel 6 i databeskyttelsesforordning: 

  • At det er nødvendigt for, at vi kan opfylde en aftale
  • At loven stiller krav om, at vi behandler dem
  • At der er givet samtykke til, at vi kan behandle dem
  • At vi som forening har en legitim interesse i at behandle dine oplysninger 

Hvornår må du behandle personoplysninger

Privatlivspolitik (Oplysningspligt)

Formålet med privatlivspolitikken er at informere personer med relation til foreningen om, hvilke oplysninger I håndterer, og hvordan de bliver behandlet. Privatlivspolitikken er et dokument til eksternt brug.

Hvis I bruger Coding Pirates Denmark medlemssystem, så er I dækket af privatlivspolitikken for medlemssystemet, da medlemmet samtykker ved oprettelse af deres profil.

I skal stadig have en privatlivspolitik, som I kan dele med jeres medlemmer. Den skal udover medlemssystemet også indeholde oplysninger indhentet til indsamling af børneattester og personoplysninger til eventuelle andre formål.  

I kan se og downloade en skabelon til en privatlivspolitik her. Den er baseret på privatlivspolitikken for Coding Pirates Denmark.

Person rettigheder og foreningens interesser

Person rettigheder
I skal oplyse om foreningens behandling af personoplysninger og personens rettigheder i jeres privatlivspolitik.

Du har ret til at blive oplyst om, at vi behandler oplysninger om dig – det er det, vi oplyser dig om i denne privatlivspolitik (som forening har vi oplysningspligt)

  • Du har ret til at få indsigt i de oplysninger, vi behandler om dig (indsigtsret)
  • Du har ret til at få urigtige oplysninger om dig berigtiget (retten til berigtigelse)
  • Du har ret til at få oplysninger om dig anonymiseret (retten til at blive glemt)
  • Du har ret til at gøre indsigelse mod, at dine oplysninger anvendes til markedsføring.
  • Du har ret til at flytte dine oplysninger – dvs. at vi skal udlevere de oplysninger, vi har om dig i et almindeligt anvendt format (retten til dataportabilitet)
  • Du kan gøre brug af dine rettigheder, herunder gøre indsigelse mod vores behandling, ved at henvende dig til os. Kontaktoplysninger findes øverst her i privatlivspolitikken.
  • Henvender du dig med en anmodning om at få rettet eller slettet dine personoplysninger, undersøger vi, om betingelserne er opfyldt, og gennemfører i så fald ændringer eller anonymisering hurtigst muligt.
  • Du kan indgive klage til tilsynsmyndighederne – Datatilsynet – over behandling af dine personoplysninger.

 

Foreningens legitime interesser
I skal oplyse om foreningens formål og rettigheder til at behandle personoplysninger i jeres privatlivspolitik

Hvis vi behandler dine medlemsoplysninger, sker det alene på baggrund af foreningens berettigede og legitime interesser, som er:

  • At håndtere dine medlemsrettigheder (f.eks. på generalforsamlingen) i henhold til foreningens vedtægter
  • At du kan opfylde dine forpligtelser som medlem af foreningen, herunder betale kontingent mv.
  • At kunne planlægge og afholde aktiviteter og sociale arrangementer
  • At kunne vise situationsbilleder fra konkrete aktiviteter eller arrangementer i foreningen
  • At bevare oplysninger med historisk værdi til statistik og lignende

Databehandleraftaler

Hvis I benytter ekstern hjælp til at behandle personoplysninger på jeres vegne, så er den eksterne part databehandler. Dette kan bl.a. være tilfældet ved brug af mail-system eller medlemssystem.

Der skal foreligge en databehandleraftale mellem foreningen og databehandleren. 

De fleste databehandlere har standardaftaler til dette formål, som I kan benytte. 

Som alternativ er der vedlagt en skabelon for en databehandleraftale fra datatilsynet her.

Hvis du ønsker at se databehandleraftalen for Coding Pirates Denmark medlemssystem, så kan du kontakte sekretariatet [email protected].

Hold behandlingen af personoplysninger opdateret

De personoplysninger I opbevarer skal holdes opdateret løbende. I kan rydde op i oplysningerne efter en sæson eller efter et arrangement.

Hvis I får nye programmer eller nyt udstyr, så skal I vurdere om de behandler personoplysninger. Det kan være I får brug for en opdateret privatlivspolitik og en ny databehandleraftale.

I skal også holde sikkerheden opdateret, f.eks. ved at fjerne eller tilføje brugere og adgangskoder.

Brud på sikkerheden

Hvis I som dataansvarlig oplever et brud på datasikkerheden – f.eks. læk af oplysninger eller hacking – skal det i visse tilfælde anmeldes til Datatilsynet senest 72 timer efter, at bruddet er opdaget. 

Søg vejledning hos Coding Pirates Denmark, før I anmelder det. Det er som udgangspunkt foreningens dataansvarlige, der håndterer en eventuel anmeldelse.

Coding Pirates Denmark [email protected].

Datatilsynet er tilsynsmyndighed.

Kilder

Datatilsynet har lavet et GDPR-univers for små foreninger.

DGI har lavet en god GDPR guide henvendt til idrætsforeninger.