Persondatalovgivningen - GDPR

Nye regler for håndtering af persondata pr. 25.08. 2018

1240410_672901599465343_7293314250588507125_n.jpg

Hvad er egentlig nyt? 

Skærpede krav til forsvarlig behandling og dokumentation heraf

EU’s nye persondataforordning trådte i kraft 25.05.18. Forordningen bygger oven på de gældende regler om persondata. Forordningen giver i store træk samme adgang som i dag til at behandle personoplysninger. Persondata, eller personoplysninger, er oplysninger, der kan henføres til en bestemt person. Det kan være fødselsdato, navn og kontaktoplysninger. Mange personoplysninger er ordinære, andre personoplysninger er følsomme – fx helbredsoplysninger.

Under den nye persondataforordning vil idrætsforeninger stadig kunne behandle de personoplysninger, som er nødvendige for at afvikle foreningens aktiviteter, ordinære såvel som følsomme. Det er den absolutte hovedregel! I en sportsklub er det nødvendigt at registrere og behandle en række oplysninger om medlemmer, trænere og ledere. Der skal opkræves kontingenter, tilmeldes til stævner, indhentes børneattester, beregnes skat m.m. Dette kan uden videre fortsætte under den nye forordning.

Men kravene til forsvarlig behandling af personoplysninger er blevet skærpet, jo mere følsomme oplysningerne er. Klubberne må altså fortsat behandle personoplysninger, når der er et reelt og legitimt behov. Oplysningerne må ikke opbevares længere, end dette behov tilsiger, og oplysningerne skal opbevares i et beskyttet miljø, hvor der kun er adgang for ledelsen eller andre med gyldig grund. Forordningen skærpede også kravene til dokumentation af, hvordan organisationer – herunder idrætsforeninger – håndterer persondata forsvarligt.

 

Typisk vil det være tilstrækkeligt, for at en klub lever op til de ny krav, at klubben udarbejder, efterlever og løbende opdaterer en privatlivspolitik og en datafortegnelse (dokumentationskravet).

 

Hjælp at hente i DIF's og DGI's vejledningshæfte og skabeloner

Der er kommet en vejledning fra DGI og DIF til klubberne, om hvordan klubber skal forholde sig for at opfylde den nye lovgivnings krav. 

Læs Vejledning til idrætsforeninger om behandling af personoplysninger.

Til vejledningen knytter sig nogle bilag med skabeloner, der kan gøre det lettere at leve op til de nye krav til klubben:

Bilag 1: Skabelon til klubbens privatlivspolitik

Bilag 2: Skabelon til opfyldelse af klubbens fortegnelsespligt

Bilag 3: Eksempel på databehandleraftale

Bilagene kan hentes her.

 

"Varedeklaration" til DIF's og DGI's vejledningshæfte: 

Vejledningen sigter mod gennemsnitsforeningen. En gennemsnitsforening som måske ikke findes i virkeligheden. Dermed sagt, at der for den enkelte klub kan være særlige forhold i relation til de nye persondataregler, som vejledningen ikke dækker.

Men grundreglerne er beskrevet, og vejledningen giver konkrete beskrivelser og svar på en række klassiske problemstillinger i foreningerne. Vejledningen kan bruges af klubben til at få et generelt overblik over, hvad den skal foretage sig.

Der knytter sig tre bilag til vejledningen. Bilagene er skabeloner for datafortegnelse, databehandleraftale og privatlivspolitik for en gennemsnitsforening.

I en række tilfælde medfører forordningen i praksis ikke de samme krav til idrætsforeninger som til offentlige myndigheder eller store virksomheder. Som bestyrelsesmedlem i en klub skal man derfor være opmærksom på, at foreningen (og DFF) ikke altid skal efterleve de samme krav, som man møder på sin arbejdsplads.

 

Vejledningen i hovedtræk

Når det drejer sig om selve muligheden for at behandle personoplysninger (indsamle, opbevare, anvende, videregive osv.), har forordningens bestemmelser i vid udstrækning samme indhold som de gældende regler i persondataloven fra 2000.

Forordningen medfører derimod en skærpelse af nogle af de pligter, der følger med, når I behandler personoplysninger, f.eks. forpligtelser om dokumentation for, hvordan I behandler personoplysningerne, og om orientering af den registrerede.

Klubber kan fortsat behandle alle de almindelige personoplysninger, der er nødvendige for at drive foreningen. Herunder kan foreningerne udveksle personoplysningerne med DFF, når dette er en integreret del af afviklingen af turneringer og stævner, gennemførelse af uddannelser og kurser osv. Ud fra interesseafvejningsreglen og dermed uden samtykke selvsagt. Når det kommer til lønadministration, børneattester, skadesstatistikker og andre følsomme forhold, skal foreningerne selvsagt behandle disse følsomme personoplysninger efter de mere strikse regler herom.

Den nye oplysningspligt kan klubben efterleve ved at benytte skabelonen for privatlivspolitik.  Skabelonen er ikke smuk, og den er lang, men den rækker så til gengæld til det meste.

Fortegnelsespligten kan klubber, der skal, ligeledes opfylde ved at benytte skabelonen i vejledningen. DIF’s vurdering er, at klubber kun skal lave fortegnelser, hvis de behandler oplysninger om f.eks. CPR (f.eks. løn og børneattester) eller helbredsoplysninger.

 

 

Samtykke er som hovedregel ikke længere obligatorisk ved portræt- og holdbilleder

Pr. efteråret 2019 har Datatilsynet ændret praksis, således at offentliggørelse af billeder fremover som hovedregel baseres på den almindelige interesseafvejningsregel, som I som klub benytter ved meget anden behandling af persondata. Et forudgående samtykke fra medlemmet er derfor ikke længere obligatorisk før brug af portræt- og holdbilleder.

Offentliggørelse af billeder er behandling af persondata, hvorfor klubbens brug af billeder af medlemmer dog skal være omtalt i klubbens privatlivspolitik (se ovf.) eller på anden måde. Situationsbilleder må dog stadig ikke udstille de pågældende personer.

Læs mere her.

 

Se en lang, men god videovejledning om persondataforordning fra DGI til klubberne her: