CFSA Rådgivning

Må vi lægge foreningens medlemslister på hjemmesiden?

Af Mette Wang, rådgiver og konsulent ved CFSA

De fleste foreninger har brug for, at medlemmerne kan komme i kontakt med hinanden, men må I egentlig dele medlemsoplysningerne med hinanden og fx lægge dem ud på foreningens hjemmeside? Hvad siger GDPR-reglerne? CFSA’s rådgiver og konsulent Mette Wang svarer på denne måneds spørgsmål til rådgivningen og giver fem råd til små foreninger om medlemslister og GDPR.

Indhold
CFSA Rådgivning
GDPR

Et typisk spørgsmål om personoplysninger, som vi løbende får i CFSA’s rådgivning, går på, hvorvidt en forening må lægge en liste over medlemmerne på deres egen hjemmeside.

Det korte svar på det spørgsmål er: Nej, ikke uden samtykke fra det enkelte medlem.

I må gerne dele medlemslister på en lukket internetside, som kun medlemmer kan logge ind på med fx et password, eller gengive listen i jeres trykte medlemsblad, der kun distribueres til medlemmer. Men I må ikke offentliggøre den, så alle kan se, hvem der er medlem af jeres forening.  

5 myter om GDPR

1. ”Vores forening er for lille til at være omfattet af GDPR”

Nej, databeskyttelsesreglerne gælder for behandling af personoplysninger, uanset størrelsen af den organisation eller virksomhed, der foretager behandlingen.

2. ”Vi behandler ikke personfølsomme oplysninger, så vi behøver ikke at bekymre os om reglerne i GDPR”

Jo, GDPR gælder for behandling af alle typer personoplysninger – både almindelige personoplysninger, som fx navn, adresse og tlf.nr, og følsomme personoplysninger, som fx helbredsoplysninger, etnisk oprindelse og politisk overbevisning. Begrebet personoplysning er ret bredt defineret og omfatter enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Hvis man som organisation behandler sådanne typer af oplysninger, skal man sikre sig, at man gør det i overensstemmelse med GDPR.

3. ”På grund af GDPR er det nu slut med at dele deltagerlister ud på kurser og seminarer”

Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og fx fortælle deltagerne ved tilmeldingen, at I vil dele deres oplysninger med de andre deltagere - så har de også mulighed for at sige fra, hvis de ikke ønsker at optræde på sådan en liste.

4. ”Det er Datatilsynet, der udsteder bøder for GDPR”

Nej, Datatilsynet i Danmark kan ikke selv udstede bøder. I de tilfælde, hvor Datatilsynet vurderer, at en bøde er en passende sanktion for overtrædelse af reglerne om databeskyttelse, kommer de med en politianmeldelse og en indstilling til bøde. Herefter går politiet videre med sagen, som normalt vil blive afgjort ved en domstol.

5. ”GDPR stiller krav om, at man skal have en persondatapolitik på sin hjemmeside og beskriver desuden, hvordan sådan en persondatapolitik skal udformes?”

Nej, reglerne for databeskyttelse stiller ikke specifikt krav om, at man skal have en persondatapolitik. Men en persondatapolitik kan være nyttig at have alligevel, fordi den kan hjælpe den dataansvarlige med at leve op til nogle af de principper og krav, som GDPR stiller. Fx kan en god persondatapolitik bidrage til at øge den generelle gennemsigtighed af, hvordan brugerenes oplysninger behandles.

Kilde: Datatilsynet: Myter om GDPR

Efter Datatilsynets opfattelse er et medlemskab af en forening, lige meget hvilken, nemlig en privat sag. Offentliggørelse på internettet, hvor alle kan se en medlemsliste, vil kræve et samtykke fra det enkelte medlem, som står på listen.

Læs evt. mere om samtykke i Datatilsynets vejledning

Indhent kun de oplysninger I har brug for

Uanset om I deler oplysningerne internt i foreningen eller offentliggør dem på fx en hjemmeside, skal I altid have en god grund til at gøre det. Det kan fx være, at medlemmerne skal kunne komme i kontakt med hinanden for at løse deres opgave. Vær opmærksom på, at det er vigtigt, at I begrænser, hvilke og hvor mange personoplysninger I indhenter og deler. På en medlemsliste  behøver I sjældent mere end navn, telefonnummer og mailadresse. Den fysiske adresse eller andre oplysninger om de enkelte medlemmer behøver fx ikke at fremgå af listen, hvis formålet med den er, at medlemmerne skal kunne komme i kontakt med hinanden.  

Hav samtykke eller en god grund

Hos CFSA er det vores erfaring, at der er opstået en række myter og af og til ligefrem frygt for at bryde GDPR-reglerne, og det kan føre til forvirring i nogle foreninger. For må vi overhovedet noget som helst med alle de regler? Og skal vi ikke lige notere og arkivere lidt ekstra for en sikkerheds skyld?

En udbredt misforståelse blandt mange er fx, at det altid er bedst at indhente et samtykke. Men faktisk opfordrer Datatilsynet til, at man overvejer, om der findes et mere passende retligt grundlag for behandling af personoplysninger end et samtykke - det kan fx være opfyldelsen af en kontrakt, overholdelsen af andre love og regler, eller udførelsen af en opgave i samfundets interesse.

Frivillige foreninger og organisationer med almennyttige formål vil nemlig ofte kunne behandle almindelige personoplysninger med hjemmel i den såkaldte interesseafvejningsregel. Det er fx i medlemmernes interesse, at foreningen deler medlemslisten, så de kan komme i kontakt med hinanden. Men igen handler det altså om at begrænse sig, og i tilfældet med medlemslister, må I nøjes med at dele internt blandt medlemmerne, så I ikke formidler og deler til flere end højst nødvendigt.

5 råd til foreninger, der indsamler oplysninger om medlemmer og frivillige

Før I indsamler og deler oplysninger om fx medlemmer og frivillige, kan I med fordel spørge jer selv:

  1. Hvorfor indhenter, videregiver eller håndterer vi på anden måde netop disse oplysninger? Formålet skal være sagligt, fx at opkræve kontingent, mens ”Det kan være, at nogen får brug for dem” ikke er en relevant begrundelse for at bede om folks personoplysninger. Husk: I må ikke indsamle flere data, end I har brug for.
  2. Hvordan sikrer vi, at medlemmerne ved, hvad der sker med deres oplysninger? Sørg for, at det er tydeligt for medlemmerne, hvad formålet med indsamlingen er, hvordan oplysningerne bliver behandlet, hvem der har ansvar for behandlingen, og hvornår de bliver slettet/anonymiseret. Det kan fx fremgå af foreningens hjemmeside eller indmeldelsesformularen.
  3. Hvordan sørger vi for, at oplysningerne er ajourførte? Personoplysningerne skal være korrekte, og det er vigtigt, at medlemmer kan rette i dem eller ved, hvem i foreningen, der kan. 
  4. Hvordan sikrer vi personoplysningerne? Hav en procedure, så I ikke mister data, eller de kommer i de forkerte hænder.
  5. Hvor længe skal vi opbevare oplysningerne? Sørg for at slette/anonymisere, når oplysningerne ikke længere er nødvendige

Læs mere om GDPR i CFSA’s guide Regler for persondata i foreninger 

Har du brug for rådgivning?

I CFSA's rådgivning hjælper vi frivillige, bestyrelsesmedlemmer, ledere og konsulenter fra frivillige sociale foreninger og organisationer i hele landet med svar på spørgsmål som arbejdet med frivillighed giver anledning til.

Få svar på dine spørgsmål
I CFSA's mere end 60  online guider får du svar på de mest almindelige spørgsmål om frivillighed, bestyrelsesarbejde samt love og regler på området.  Se alle vores guider 

Skriv eller ring til CFSA's rådgivere
Du kan sende en mail med dit spørgsmål via vores rådgivningsformular 

 

Emne
Facebook
Twitter
Linkedin
Tilmeld nyhedsbrev