Må vi lægge foreningens medlemslister på hjemmesiden?
De fleste foreninger har brug for, at medlemmerne kan komme i kontakt med hinanden, men må I egentlig dele medlemsoplysningerne med hinanden og fx lægge dem ud på foreningens hjemmeside? Hvad siger GDPR-reglerne? CFSA’s rådgiver og konsulent Mette Wang svarer på denne måneds spørgsmål til rådgivningen og giver fem råd til små foreninger om medlemslister og GDPR.
Et typisk spørgsmål om personoplysninger, som vi løbende får i CFSA’s rådgivning, går på, hvorvidt en forening må lægge en liste over medlemmerne på deres egen hjemmeside.
Det korte svar på det spørgsmål er: Nej, ikke uden samtykke fra det enkelte medlem.
I må gerne dele medlemslister på en lukket internetside, som kun medlemmer kan logge ind på med fx et password, eller gengive listen i jeres trykte medlemsblad, der kun distribueres til medlemmer. Men I må ikke offentliggøre den, så alle kan se, hvem der er medlem af jeres forening.
Efter Datatilsynets opfattelse er et medlemskab af en forening, lige meget hvilken, nemlig en privat sag. Offentliggørelse på internettet, hvor alle kan se en medlemsliste, vil kræve et samtykke fra det enkelte medlem, som står på listen.
Læs evt. mere om samtykke i Datatilsynets vejledning
Indhent kun de oplysninger I har brug for
Uanset om I deler oplysningerne internt i foreningen eller offentliggør dem på fx en hjemmeside, skal I altid have en god grund til at gøre det. Det kan fx være, at medlemmerne skal kunne komme i kontakt med hinanden for at løse deres opgave. Vær opmærksom på, at det er vigtigt, at I begrænser, hvilke og hvor mange personoplysninger I indhenter og deler. På en medlemsliste behøver I sjældent mere end navn, telefonnummer og mailadresse. Den fysiske adresse eller andre oplysninger om de enkelte medlemmer behøver fx ikke at fremgå af listen, hvis formålet med den er, at medlemmerne skal kunne komme i kontakt med hinanden.
Hav samtykke eller en god grund
Hos CFSA er det vores erfaring, at der er opstået en række myter og af og til ligefrem frygt for at bryde GDPR-reglerne, og det kan føre til forvirring i nogle foreninger. For må vi overhovedet noget som helst med alle de regler? Og skal vi ikke lige notere og arkivere lidt ekstra for en sikkerheds skyld?
En udbredt misforståelse blandt mange er fx, at det altid er bedst at indhente et samtykke. Men faktisk opfordrer Datatilsynet til, at man overvejer, om der findes et mere passende retligt grundlag for behandling af personoplysninger end et samtykke - det kan fx være opfyldelsen af en kontrakt, overholdelsen af andre love og regler, eller udførelsen af en opgave i samfundets interesse.
Frivillige foreninger og organisationer med almennyttige formål vil nemlig ofte kunne behandle almindelige personoplysninger med hjemmel i den såkaldte interesseafvejningsregel. Det er fx i medlemmernes interesse, at foreningen deler medlemslisten, så de kan komme i kontakt med hinanden. Men igen handler det altså om at begrænse sig, og i tilfældet med medlemslister, må I nøjes med at dele internt blandt medlemmerne, så I ikke formidler og deler til flere end højst nødvendigt.
5 råd til foreninger, der indsamler oplysninger om medlemmer og frivillige
Før I indsamler og deler oplysninger om fx medlemmer og frivillige, kan I med fordel spørge jer selv:
- Hvorfor indhenter, videregiver eller håndterer vi på anden måde netop disse oplysninger? Formålet skal være sagligt, fx at opkræve kontingent, mens ”Det kan være, at nogen får brug for dem” ikke er en relevant begrundelse for at bede om folks personoplysninger. Husk: I må ikke indsamle flere data, end I har brug for.
- Hvordan sikrer vi, at medlemmerne ved, hvad der sker med deres oplysninger? Sørg for, at det er tydeligt for medlemmerne, hvad formålet med indsamlingen er, hvordan oplysningerne bliver behandlet, hvem der har ansvar for behandlingen, og hvornår de bliver slettet/anonymiseret. Det kan fx fremgå af foreningens hjemmeside eller indmeldelsesformularen.
- Hvordan sørger vi for, at oplysningerne er ajourførte? Personoplysningerne skal være korrekte, og det er vigtigt, at medlemmer kan rette i dem eller ved, hvem i foreningen, der kan.
- Hvordan sikrer vi personoplysningerne? Hav en procedure, så I ikke mister data, eller de kommer i de forkerte hænder.
- Hvor længe skal vi opbevare oplysningerne? Sørg for at slette/anonymisere, når oplysningerne ikke længere er nødvendige
Læs mere om GDPR i CFSA’s guide Regler for persondata i foreninger