Sådan håndterer I GDPR i foreninger
Den nye persondatalov
EU’s Persondataforordning, også kendt GDPR, gjorde sin entre den 25. maj, og de fleste har allerede modtaget bunkevis af e-mails om nye betingelser, privatlivspolitikker og samtykkeerklæringer. Men hvad betyder alle disse nye regler egentlig for sportsklubber og foreninger? Holdsport.dk giver dig et overblik over, hvordan din forening håndterer GDPR, så I får styr på de sidste detaljer og opnår compliance.
Persondatalov: Hvad betyder GDPR for foreninger og klubber?
GDPR har skærpet kravene til behandling af personoplysning. Det grundlæggende formål er at beskytte de registrerede og at sikre, at persondata ikke misbruges. Derudover pålægges foreninger og sportsklubber skærpede krav og pligter i kraft af den nye lovgivning. Især er der sket stramninger i forhold til dokumentation. Det betyder altså, at foreningerne er forpligtet til at sørge for, at oplysninger om foreningens behandling af persondata skal være lettilgængelig for foreningens medlemmer.
GDPR kan brydes ned i fire punkter, som er de vigtigste for foreningen og sportsklubber at være opmærksom på:
1. Foreningens formål med behandling af personoplysninger
Alle behandlinger af personoplysninger i foreningen have baggrund i en lovlig grund. En lovlig grund kan eksempelvis være: at opfylde en kontrakt med den registrerede, baseret på samtykke, forpligtelse i form af lovkrav eller at forfølge legitim interesse.
Det er vigtigt for foreningerne, at alle behandlinger af personoplysninger er baseret på en lovlig grund. Foreninger vil i langt de fleste tilfælde kunne behandle almindelige oplysninger for at forfølge en legitim interesse, så længe de tjener det respektive formål. Eksempelvis vil registrering af navn og kontaktoplysninger være baseret på en legitim interesse, da foreninger selvfølgelig skal have en medlemsdatabase. Til gengæld skal foreningen være opmærksom på, at der ikke registreres data, som ikke er tjener noget decideret formål som eksempelvis civilstatus eller job.
2. Fortegnelser over behandlingsaktiviteter (dokumentationskrav)
Foreningerne er forpligtet til at føre en fortegnelse over behandlingsaktiviteter. Det betyder, at foreningen skal kunne påvise en oversigt over behandlingen, som blandt andet indebærer, hvilke oplysninger behandles, hvordan behandles oplysningerne, modtagere af oplysninger, m.v.
3. Privatlivspolitik (oplysningspligten)
I kraft er GDPR er foreningen underlagt oplysningspligt, når der behandles personoplysninger. Foreningerne kan udarbejde en privatlivspolitik, hvor foreningens medlemmer oplyses om alle aspekter af behandlingen. Privatlivspolitikken skal indeholde information om, hvilke, hvordan og hvorfor personoplysningerne behandles samt foreningens kontaktperson for databeskyttelse.
4. Datasikkerhed
Foreningen skal kunne garantere en tilpas sikkerhed med hensyn til behandling af personoplysninger. Derudover har foreningen i tilfælde af brud pligt til at anmelde brud til Datatilsynet.
Foreningen som dataansvarlig
Det er vigtigt for foreningerne at forstå begreberne dataansvarlig og databehandler, da kravene er forskellige. Sportsklubber og foreninger registrerer og opbevarer oplysninger om deres medlemmer, og er derfor dataansvarlige overfor medlemmerne. Selvom foreningen anvender Holdsport.dk som en ekstern service til at behandle jeres data, ligger ansvaret stadig hos foreningen. Men hvad betyder det egentligt at være dataansvarlig?
Som dataansvarlig har foreningen blandt andet ansvaret for, at foreningen har lov til at behandle oplysningerne, at foreningen er i stand til efterleve oplysningspligten og eventuelt at indberette brud på persondatasikkerheden til Datatilsynet. Når foreningen er dataansvarlig, sker behandlingen på instruks fra den dataansvarlige til databehandleren. Det betyder samtidig, at foreningen skal indgå en såkaldt databehandleraftale med leverandører, når de anvender forskellige systemer til at håndtere personoplysninger.
Holdsport som databehandler
GDPR blev indført af EU for brugernes skyld, og hos Holdsport.dk har vi fuld forståelse for, at denne nye lovgivning kan være en stor mundfuld for foreningerne at håndtere. Hos Holdsport.dk har vi forsøgt at gøre hele processen omkring GDPR så let for foreninger og klubber så let som overhovedet muligt. Vi har blandt andet opdateret vores betingelser og privatlivspolitik, som alle brugere skal acceptere. Disse er opdateret, så der i alle tilfælde er taget højde for brugernes rettigheder, så Holdsport.dk kan fortsætte med gøre hverdagen for jeres forening så gnidningsfri som muligt. Vi sørger for behandlingssikkerhed, så både klub og brugere trygt kan anvende Holdsport.dk til at behandle jeres data.
GDPR-skabeloner
Når jeres forening skal have styr på dokumentationen, er det vigtigt at få kortlagt alle behandlinger, foreningen foretager sig. At udarbejde foreningens privatlivspolitik og en fortegnelse over behandlingsaktiviteter kan være et større arbejde. Datatilsynet har udarbejdet en række vejledninger og skabeloner, som er brugbare til udarbejdelsen af dokumentationen. Du finder vejledninger og skabeloner fra Datatilsynet her.
DGI har også udarbejdet en vejledning og skabeloner specifikt til brug hos foreninger og sportsklubber, som kan hjælpe jer rigtig godt på vej! Her finder du DGI's vejledninger og skabeloner.
FAQ om Persondatalov
Skal vi som vores forening selv udarbejde en databehandleraftale til Holdsport.dk?
Nej. Hos Holdsport.dk har vi gjort det let for din forening! Der ligger allerede en databehandleraftale klar, når jeres forening opretter en klub. Derfor behøver jeres klub eller forening ikke at bekymre sig om at udfærdige en databehandleraftale. Holdsport.dk arbejder med en standardaftale, udarbejdet af vores advokat, og derfor tager vi ikke imod databehandleraftaler fra den enkelte klub, da vi desværre ikke har kapacitet til at håndtere individuelle databehandleraftale fra alle klubber.
Kan en bruger slette sig selv? Og med indberetning af medlemstal?
Holdsport.dk har sørget for, at brugerne kan slette sig selv. Til gengæld indgår det i vores betingelser, at klubberne altid vil have ret til at beholde data nok til at kunne indberette medlemstal til Centralt ForeningsRegister og aktivitetspuljer, så jeres forening ikke skal bekymre sig om at miste støttekroner.
Eksempelvis lukker Holdsport.dk også ned for brugernes slettemulighed, hvis brugeren ikke har betalt kontingent eller for deltagelse i en betalingsaktivitet.
Kan klubadmin slette brugere fra Holdsport.dk?
Som udgangspunkt nej. Brugerne ejer deres bruger. Men jeres klub eller forening har mulighed for at slette tilhørsforholdet til klubben. Det betyder, at I som klub ikke længere er dataansvarlig for denne bruger. Brugeren vil stadig være aktiv på Holdsport og kan tilknyttes et nyt hold. Holdsport.dk bliver dataansvarlig for den respektive bruger.
GDPR-TJEKLISTE
- 1 Kortlæg alle jeres behandlinger i foreningen
- 2 Dokumenter alle jeres behandlinger i en fortegnelse
- 3 Lav en synlig privatlivspolitik og informer alle foreningens medlemmer
- 4 Indgå databehandleraftaler hvis foreningen bruger andre til at håndtere data
- 5 Udpeg en data-kontaktperson i foreningen
Hvad med vores medlemmers rettigheder og vores oplysningspligt?
Holdsport.dk har sørget for, at betingelser for brug og privatlivspolitik er opdateret, så behandlingen af personoplysninger på jeres forenings vegne er gennemsigtig og forståelig. Vi informerer om formålet, om brugernes rettigheder og særlig omkring vilkårene i forhold til sletning, så jeres forening ikke lige pludselig mangler data, når I skal indberette medlemstal.
Holdsport.dk tilbyder samtidig en gratis hjemmeside, hvor jeres forening kan gøre jeres privatlivspolitik let tilgængelig for alle medlemmerne. Derudover har I også mulighed for informere alle jeres medlemmer gennem vores kommunikation på jeres forenings Holdsport.dk-platform.
Holdsport forsøger at gøre hverdagen lettere for foreningerne, klubberne og brugerne hver dag, og vi vil løbende tilpasse vores platform til hele at fungere så optimalt som overhovedet muligt - også i forhold til den nye lovgivning. Hvis du har yderligere spørgsmål, er du velkommen til at kontakte os.