Webguide
Seneste revision

Regler for persondata i foreninger

Få overblik over de vigtigste regler om GDPR og databeskyttelse, som gælder, når foreninger og frivillige organisationers behandler persondata og oplysninger om personer som fx medlemmer, frivillige, brugere og ansatte. Få også råd om de regler, der gælder, når I bruger billeder på foreningens hjemmeside, sociale medier og internettet.

I denne guide kan du læse om de regler, I som forening eller frivillig organisation skal overholde, når I behandler personoplysninger – dvs. når I indsamler, registrerer, opbevarer, videregiver og sletter oplysninger om fx medlemmer, frivillige, ansatte og brugere.

Guiden giver også svar på, hvordan I må bruge billeder af fx medlemmer, frivillige og brugere på hjemmesider, sociale medier og på print. Endelig er der i guiden en liste med vigtige ord og begreber, I skal kende, samt til sidst en oversigt over, hvad I skal gøre for at leve op til reglerne i persondataforordningen.

Hvad er behandling af personoplysninger?

Behandling af personoplysninger og persondata er en aktivitet eller en række af aktiviteter, som involverer brug af personoplysninger. Det kan være både indsamling,  registrering, opbevaring, sletning eller ændring, søgning i, sammenstilling, overladelse eller videregivelse til personer, myndigheder, selskaber mv. uden for foreningen

Hvem er omfattet af reglerne?

Reglerne i databeskyttelsesforordningen gælder offentlige myndigheder, virksomheder og foreninger. Privatpersoner er i mange tilfælde undtaget fra forordningen – fx når de behandler personoplysninger, som led i rent personlige eller familiemæssige aktiviteter.

Formålet med forordningen er at beskytte EU-borgeres oplysninger og data mod uretmæssig brug og misbrug. Derudover er hensigten, at der skal være ens regler på området i alle EU-landene. Forordning stiller en række krav til foreninger, organisationer, virksomheder og offentlige instanser, som gør brug af personoplysninger og persondata.

Husk, at det er Datatilsynet, der er myndighed på området og afgør, om jeres behandling af personoplysninger er i overensstemmelse med lovgivningen. Du kan evt. finde mere information på deres hjemmeside: https://www.datatilsynet.dk/ 

Se også Justitsministeriets Vejledning til frivillige foreninger om behandling af personoplysninger (pdf). Vejledningen indeholder en række ofte stillede spørgsmål og konkrete eksempler.

1. Hvad er personoplysninger?

 

Personoplysninger er informationer, der kan bruges til at identificere en fysisk person fx en bruger, et medlem, en frivillig eller en ansat. Personoplysninger er fx et navn, adresse, telefonnummer, mailadresser, fødselsdato eller et billede. Det kan også være oplysninger om fx helbred, seksuelle forhold, etnisk oprindelse eller fagforeningsmæssigt tilhørsforhold.

Eksempel

Hvis I fx omtaler en person som ’kvinden i foreningen’ er der tale om en personoplysning, hvis der kun er én kvinde i foreningen. I så fald kan oplysningen nemlig bruges til at identificere en specifik person og dermed er oplysningen en personoplysning.

Persondataforordningen skelner mellem tre typer personoplysninger:  Almindelige personoplysninger, følsomme personoplysninger og straffedomme og lovovertrædelser. Typen af personoplysninger har stor betydning for, om og hvordan I skal behandle oplysningerne.

1. Almindelige personoplysninger

De personoplysninger, der ikke falder ind under kategorien ”følsomme personoplysninger”, kaldes ”almindelige personoplysninger”. Almindelige personoplysninger er fx navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger.

2. Følsomme personoplysninger

Oplysninger om race eller etnisk oprindelse, politisk, religiøs, filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt genetiske og biometriske data, som behandles med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Det er kun de nævnte oplysninger, der anses for følsomme oplysninger i persondataforordningen. Det betyder, at selve medlemskabet af en forening fx med fokus på et bestemt handicap kan være en følsom personoplysning.

3. Strafbare forhold og personnummer (CPR-nummer) 

I må behandle oplysninger om strafbare forhold, hvis:

  • Den oplysningerne vedrører (den registrerede) har givet sit samtykke
  • Det er nødvendigt for at I kan varetage en berettiget interesse og denne interesse klart overstiger hensynet til den registrerede.

Børneattesten er et eksempel på, at I behandler oplysninger om en persons strafbare forhold. Når I indhenter børneattester på en frivillig eller en ansat, skal I altid have hans eller hendes samtykke. Læs evt. mere i vores guide Børneattester i det frivillige sociale arbejde 

Der er særlige regler for, hvornår man må behandle personnummer (CPR-nummer). Dels skal der være lovkrav (lovgivning) og I skal have samtykke fra den person, som har det pågældende CPR-nummer. 

I de fleste tilfælde vil det ikke være nødvendigt for foreninger at behandle personnummer. 

Vi anbefaler, at I kontakter Datatilsynet, når I er i tvivl om, hvorvidt I må behandle oplysninger om strafbare forhold og cpr-numre eller ej. 

GDPR_personoplysninger og følsomme personoplysninger

Figur 1. De tre kategorier af personoplysninger: Jo højere oppe i trekanten oplysningerne er, desto strengere er betingelserne for, at I må behandle dem.

2. Principper for god databehandlingsskik

Foreninger skal som alle andre, der behandler personoplysninger, overholde en række grundlæggende principper for god databehandlingsskik.

Principperne er:

  • Lovlighed, rimelighed og gennemsigtighed: I skal altid overholde reglerne for behandling af personoplysninger. I skal også sikre jer, at de personer, I registrerer oplysninger om, oplever det som rimeligt, at I behandler oplysninger om dem. Derudover skal I give let tilgængelig information, om hvordan I behandler oplysninger i fx en privatlivspolitik. Her skal I blandt andet oplyse dem, I behandler oplysninger om, hvem der er ansvarlig for behandlingen, hvad formålet med behandlingen er, og hvordan vedkommende kan få slettet sine oplysninger. Læg privatlivspolitikken på jeres hjemmeside. Læs mere om privatlivspolitik i guidens afsnit 4.
  • Formålsbegrænsning: I må kun behandle personoplysninger, hvis I har et klart og sagligt formål. Et klart og sagligt formål kan fx være, at I som forening registrerer medlemmernes navne, adresser og mail for at kunne opkræve kontingent.
  • Dataminimering: I må ikke behandle flere oplysninger end nødvendigt. Hvis I fx vil sende jeres medlemmerne elektroniske nyhedsbreve, er det ikke nødvendigt at registrere deres fysiske postadresser. 
  • Rigtighed: De oplysninger, I behandler, skal altid være korrekte og ajourførte. I skal derfor løbende rette og/eller slette oplysninger, som er forkerte. I bør fx have en procedure for at gennemgå og ajourføre foreningens medlemsoplysninger.
  • Opbevaringsbegræsning: I skal slette eller anonymisere personoplysninger og billeder, når det ikke længere er nødvendigt for jer at have dem. Der er ingen generelle regler for, hvor længe I må opbevare dem. I skal vurdere, hvor længe det er nødvendigt og relevant, og skrive det ind i jeres fortegnelse.
  • Integritet og fortrolighed: I skal sikre og beskytte de personoplysninger, I har mod uautoriseret og ulovlig behandling. I skal også sikre, at personoplysninger ikke går tabt eller bliver ødelagt. Sørg fx for, at I opbevarer personoplysninger et sted, der kræver adgangskode. Det gælder både på pc, mobile enheder eller på nettet. 

3. Hvornår må I behandle personoplysninger?

Behandling af personoplysninger og persondata er enhver aktivitet eller række af aktiviteter, som involverer brug af personoplysninger fx indsamling, registrering, systematisering, ændring af, søgning i, sammenstilling, overladelse og videregivelse til personer, myndigheder, selskaber mv. uden for foreningen.

Når I som forening behandler personoplysninger, har I pligt til at overholde reglerne i persondataforordningen samt principperne om god databehandlingsskik. Dem kan I læse mere om i guidens afsnit 2.

Endelig er det vigtigt, at I er opmærksomme på, at der er forskellige krav afhængig af, om I behandler almindelige eller følsomme personoplysninger.

I må behandle almindelige personoplysninger, hvis I har en lovlig grund

I må gerne behandle almindelige personoplysninger, men I skal have en lovlig grund – kaldet hjemmel - til at behandle dem. En hjemmel til at behandle personoplysninger kan fx være:

  • At opfylde en aftale fx en kontrakt i forbindelse med et ansættelsesforhold
  • At en person har givet sit samtykke. Se Datatilsynets vejledning om samtykke (pdf)
  • At I er forpligtet pga. lovkrav – hvis I fx skal indberette oplysninger om en ansat medarbejder til Skat.
  • At I har en legitim interesse - fx hvis foreningen ønsker at offentliggøre situationsbilleder fra den årlige generalforsamling uden at indhente samtykke fra de deltagere, der optræder på billederne. Her vil Datatilsynet altid veje de afbilledes interesse og rettigheder op imod foreningens interesse (Interesseafvejningsreglen). Ifølge Justitsministeriets vejledning til foreninger (pdf) kan foreninger i langt de fleste tilfælde behandle almindelige personoplysninger på baggrund af interesseafvejningsreglen.

Foreninger må ikke behandle følsomme personoplysninger

Som udgangspunkt er det forbudt at behandle følsomme personoplysninger. I forordningen er nævnt en række undtagelser, som gør det muligt at behandle følsomme personoplysninger. Undtagelserne gælder kun, hvis I har en lovlig grund (hjemmel) til at behandle oplysningerne, og hvis I sørger for at overholde principperne om god databehandlingsskik.

Undtagelserne er nævnt i persondataforordningens artikel 9, stk. 2. De undtagelser, som kan være relevante for foreninger, er:

  1. At I har fået samtykke fra den registrerede til at behandle oplysningerne til et eller flere specifikke formål. Se Datatilsynets vejledning om samtykke (pdf)
  2. At det er nødvendigt at behandle oplysningerne for, at I kan overholde foreningens forpligtelser på det arbejds-, sundheds- og socialretlige område, fx hvis foreningen har ansatte, eller der er specifikke lovkrav eller lovlig grund i en kollektiv overenskomst.
  3. Når behandlingen foretages af en forening eller frivillig organisation, som har et almennyttigt formål uden gevinst for øje. Behandlingen skal ske som en del af foreningens lovlige aktiviteter og være en naturlig følge af foreningens formål. Det er en betingelse, at behandlingen kun vedrører foreningens medlemmer, tidligere medlemmer eller personer, der pga. jeres formål er i regelmæssig kontakt med foreningen. Samtidig har foreningen en særlig forpligtelse til at sørge for, at oplysningerne ikke bliver misbrugt, fx ved at sikre, at oplysningerne opbevares sikkert, og det kun er udvalgte personer, der har adgang til dem. Videregivelse af følsomme personoplysninger uden for foreningen kræver samtykke fra den registrerede. 
  4. At oplysningerne tydeligvis er offentliggjort af den registrerede selv.
Eksempel

Hvis en patientforening behandler oplysninger om et medlems sygdomshistorik, er der tale om en følsom personoplysning, som foreningen som udgangspunkt ikke må behandle. I skal derfor finde en begrundelse blandt de undtagelser, der nævnes i forordningens artikel 9, stk. 2, hvis I alligevel vil behandle denne type oplysninger. Det kan fx være, at I har fået samtykke fra medlemmet (pkt. 1), eller at I behandler oplysninger, som er en naturlig del af jeres lovlige aktiviteter (pkt. 3).

Datatilsynet er myndighed på området

I skal være opmærksomme på, at reglerne for, hvornår I må behandle personoplysninger, er skønsmæssige og derfor afhængige af en konkret vurdering af den enkelte situation.

Vi anbefaler, at I kontakter Datatilsynet, når I er i tvivl om, hvorvidt I må behandle personoplysninger eller ej. Vi anbefaler desuden, at I skriver jeres spørgsmål og overvejelser ned, så I altid kan dokumentere over for Datatilsynet, at I har foretaget saglige vurderinger af jeres databehandling.

4. De registreredes rettigheder og foreningens oplysningspligt

Når I behandler oplysninger om en person (fx et medlem, en frivillig, bruger eller andre), har vedkommende en række rettigheder, som skal styrke den enkeltes retsstilling. De vigtigste rettigheder, som nævnes i forordningen er:

  • Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt).
  • Retten til at få indsigt i sine personoplysninger (indsigtsret).
  • Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse).
  • Retten til at få sine personoplysninger slettet (retten til at blive glemt).
  • Retten til at gøre indsigelse mod, at personoplysninger anvendes til direkte markedsføring.
  • Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering. 
  • Retten til at flytte sine personoplysninger (dataportabilitet).

Se mere om registreredes rettigheder i Datatilsynets vejledning 

Som følge af disse rettigheder har foreninger, som behandler personoplysninger, derfor en række pligter – herunder pligt til at oplyse om, hvornår, hvorfor og hvordan I behandler personoplysninger (oplysningspligt). Det kan I gøre ved at udarbejde en privatlivspolitik. Se mere om privatlivspolitik i denne guides afsnit 5.

I bør også beskrive, hvordan I vil håndtere det, hvis et medlem beder om at få at vide, hvilke oplysninger I har om vedkommende (indsigtsretten).

Se Datatilsynets skabelon Underretning om indsamling af oplysninger (Word) (privatlivspolitik)

5. Få styr på fortegnelse, privatlivspolitik og databehandleraftaler

Fortegnelse

Når I behandler personoplysninger, skal I kunne dokumentere, at I behandler dem efter reglerne i persondataforordningen. I skal derfor udarbejde en eller flere såkaldte fortegnelser, der beskriver, hvilke personoplysninger I behandler (både almindelige og følsomme), og hvordan I behandler oplysningerne. I skal også beskrive, hvorfor I behandler oplysningerne. Her skal I henvise til, hvorfor I må behandle personoplysningerne (fx interesseafvejningsreglen eller samtykke) og de grundlæggende principper for god databehandlingsskik. Det er et krav, at fortegnelser er skrevet ned.

Se evt. CFSA's skabelon til fortegnelse i en forening (pdf)

Datatilsynet har udgivet Vejledning om fortegnelse, som giver en udførlig beskrivelse af, hvordan I udformer en fortegnelse.

Som en del af deres tilsynspligt kan Datatilsynet forlange dokumentation for, at I overholder persondataforordningen. Derfor skal I opbevare jeres fortegnelser et tilgængeligt sted.

Husk løbende at justere og ajourføre jeres fortegnelser.

Privatlivspolitik

Når I behandler personoplysninger, har I oplysningspligt over for de personer, I registrerer oplysninger om. 

En privatlivspolitik er den mest brugte måde at sikre sig, at man overholder sin oplysningspligt. Privatlivspolitikken er et dokument, der fortæller fx medlemmer, frivillige og brugere om, hvordan I behandler oplysninger om dem, hvorfor I opbevarer bestemte oplysninger (fx mailadresser), hvad I bruger oplysningerne til, og hvem i foreningen de kan henvende sig til, hvis de vil have slettet deres data.

Datatilsynet har udgivet to skabeloner til hvordan I sikrer oplysningspligten og indsigtsretten (også kaldet en privatlivspolitik) (Word). Selvom de er målrettet virksomheder, kan I sagtens lade jer inspirere af skabelonerne, når I udarbejder jeres privatlivspolitik. Hent også inspiration i CFSA's skabelon til privatlivspolitik for foreninger (pdf).       

Privatlivspolitikken skal være tilgængelig for de personer, I behandler oplysninger om. Derfor kan I med fordel udlevere privatlivspolitikken til nye medlemmer og lægge den på foreningens hjemmeside.

Databehandleraftale

I skal indgå en databehandleraftale med samarbejdspartnere og leverandører, der opbevarer eller behandler data (personoplysninger) for jer.

Justitsministeriets Vejledning til frivillige foreninger giver en række eksempler på typiske databehandlere:

  • En aktør, der hoster en hjemmeside på vegne af foreningen, hvoraf der fremgår personoplysninger
  • Lønadministrationsudbydere
  • Bookingløsninger
  • OneDrive
  • Dropbox
  • Google Drev

I vejledningen er der også eksempler på samarbejdspartnere og leverandører, hvor I typisk ikke skal indgå en databehandleraftale. Det er fx:

  • Videregivelse til skattemyndighederne
  • Mobilepay
  • Netbank
  • Microsoft Office-pakken på foreningens egen hardware

Disse to lister er ikke udtømmende for samarbejdspartnere og leverandører, som foreninger skal indgå databehandleraftaler med.

Datatilsynet har udarbejdet en skabelon til en databehandleraftale (pdf).

Mange professionelle samarbejdspartnere fx revisionsfirmaer har også skabeloner, I kan tage udgangspunkt i. 

Vær særligt opmærksomme på, om I bruger cloud-løsninger som Dropbox og Google Drev til at opbevare fx medlemsoplysninger. Cloud-leverandører anvender ofte standardvilkår, som ikke nødvendigvis overholder EU's persondataforordning. Hvis jeres leverandør opbevarer persondata i USA, skal I sikre jer, at de er 'Privacy Shield-certificered'. Privacy Shield er en aftale mellem EU og USA, der betyder, at jeres leverandør lovligt kan sende EU-borgeres data på tværs af Atlanten.

Kontakt Datatilsynet, hvis I er i tvivl om, hvilke databehandleraftaler I har brug for.  

6. Regler for billeder på hjemmesider, sociale medier og internettet

Hvis I offentliggør billeder af genkendelige personer på jeres hjemmeside, social medier eller andre steder på nettet, behandler I personoplysninger. Det gælder, uanset om billedet er ledsaget af en tekst (navn) eller et tag (mærkning af personer på sociale medier), der identificerer den person, som er på billedet eller ej.

Før I offentliggør billeder med personer, man kan genkende - fx billeder af jeres bestyrelsesmedlemmer, frivillige eller brugere, skal I (som databehandler) foretage en helhedsvurdering af billedet og jeres formål med at offentliggøre det.

Ud fra denne vurdering skal I afgøre om billedet enten kan bruges ud fra interesseafvejningsreglen  – dvs. at I har en legitim interesse i at offentliggøre billedet - eller om offentliggørelse kræver samtykke fra de personer, som er på billedet. Læs mere i denne guides afsnit 3 om, hvornår I må behandle personoplysninger herunder billeder.

Almindelige, harmløse billeder kræver ikke samtykke

Interesseafvejningsreglen giver jer mulighed for at offentliggøre almindelige, harmløse billeder uden samtykke. Det kræver imidlertid, at personen på billedet ikke med rimelighed kan føle sig udstillet, udnyttet eller krænket. Hvis I bruger billeder uden samtykke kræver det også, at I tager særligt hensyn til børn, unge og brugere, som måske ikke kan vurdere konsekvenserne af, at I offentliggør et billede af dem.

Datatilsynet oplyser på deres hjemmeside, at billeder optaget under en forenings aktiviteter, som udgangspunkt godt kan offentliggøres uden samtykke. Det betyder, at billeder af jeres medlemmer, frivillige eller brugere ofte – men ikke altid – kan offentliggøres uden samtykke.

Hvis I vurderer, at billedet ikke er harmløst, så kan I stadig godt offentliggøre det, men så kræver det, at I får samtykke fra personen på billedet. Det kan nemlig opleves krænkende, hvis I beslutter jer for at bruge et billede af en bruger i forbindelse med markedsføring af en aktivitet eller et arrangement.

Hvis I vil offentliggøre billeder af jeres frivillige, medlemmer, brugere eller andre genkendelige personer, skal I informere dem om, hvordan I vil bruge billederne. Det giver dem, der optræder på billederne mulighed for at give udtryk for deres holdning, før I offentliggør dem. Det skal I også gøre i situationer, hvor I ikke indhenter samtykke.

Vi anbefaler, at I respekterer, hvis en person ønsker billeder og/eller oplysninger om dem selv fjernet fra jeres hjemmeside, sociale medier mv.

Datatilsynet er myndighed på området

Datatilsynet skelner ikke længere mellem situations- og portrætbilleder, men I skal være opmærksomme på, at reglerne fortsat er baseret på juridisk skøn. Det betyder, at hvis Datatilsynet modtager en indsigelse eller klage over et billede, foretager de en helhedsvurdering af, om billedet er harmløst, og om I har et legitimt formål med at offentliggøre det.

I bør kontakte Datatilsynet, når I er i tvivl om, hvorvidt I må bruge billeder på foreningens hjemmeside, sociale medier og internettet.

Læs mere på Datatilsynets hjemmeside om brug af billeder

7. Vigtige ord og begreber

I dette afsnit finder du en liste med ord og begreber, som I skal kende til, når I som forening behandler personoplysninger. Listen er ordnet alfabetisk.

Adfærdskodekser er retningslinjer til dataansvarlige, som f.eks. forklarer, hvordan bestemte tilfælde skal håndteres. Det vil typisk være en landsorganisation, som udarbejder et kodeks, som lokalforeningerne kan tilslutte sig for at gøre det nemmere at sætte sig ind i databeskyttelsesreglerne. Et adfærdskodeks skal godkendes af Datatilsynet.

Behandling af persondata: Enhver aktivitet eller række af aktiviteter, som involverer brug af personoplysninger fx indsamling, registrering, systematisering, ændring af, søgning i, sammenstilling, overladelse og videregivelse til personer, myndigheder, selskaber mv. uden for organisationen. Når I som forening behandler personoplysninger, har I pligt til at overholde reglerne i persondataforordningen.

Dataansvarlig er den fysiske eller juridiske person – fx bestyrelsen i en forening, der afgør og bestemmer formålet med behandling af personoplysninger, og hvordan, dvs. med hvilke hjælpemidler, behandlingen foretages. Man kan godt være både dataansvarlig og databehandler.

Databehandler er den fysiske eller juridiske person – fx en virksomhed, myndighed eller et andet organ, der behandler personoplysninger på vegne af og efter instruks fra den dataansvarlige. Man kan godt være både dataansvarlig og databehandler.

Databehandleraftale er en bindende kontrakt mellem den dataansvarlige (fx foreningen) og den organisation eller virksomhed (fx en IT-virksomhed), som behandler personoplysninger på vegne af den dataansvarlige. Persondataforordningen stiller en række krav til indholdet af databehandleraftaler, som skal være skriftlig og tilgængelig elektronisk.

Se Datatilsynets standardskabelon til databehandleraftale

Databeskyttelsesforordningen – populært kaldet persondatafordningen – er den EU-forordning, som trådte i kraft som dansk lov den 25. maj 2018. Formålet med forordningen er at styrke beskyttelsen af EU-borgeres personoplysninger samt harmonisere lovgivningen på området i EU-landene. Forordningen omtales ofte som GDPR baseret på forkortelsen af det formelle engelske navn (General Data Protection Regulation).

Fortegnelse er et dokument, som beskriver, hvordan og hvorfor I behandler de data, I opbevarer. Fortegnelsen dokumenterer, at I overholder persondataforordningens regler om behandling af personoplysninger. Det er et krav, at fortegnelsen er skrevet ned.

Se Datatilsynets Vejledning om fortegnelse

Oplysningspligt / privatlivspolitik. I har oplysningspligt over for de personer, I registrerer oplysninger om. Som en del af denne pligt udarbejder mange en privatlivspolitik, som informerer om, hvorfor, hvordan og til hvad, I bruger deres oplysninger, samt hvem de kan henvende sig til, hvis de vil have slettet deres oplysningerne. Privatlivspolitikken skal være tilgængelig – fx ved at udlevere den til nye medlemmer og lægge den på foreningens hjemmeside.

Få inspiration i Datatilsynets skabeloner til privatlivspolitik

Personoplysninger er informationer som fx et navn, adresse, mailadresser, fødselsdato eller et billede, der kan bruges til at identificere en person (brugere, medlemmer, frivillige og ansatte). Det er også oplysninger, der indirekte, fx ved sammenstilling af oplysninger med offentligt tilgængelig information eller anden information i foreningen, kan identificere en person. Det er altså oplysninger som siger noget om en person. Personoplysninger kan opdeles i tre typer: 1. Almindelige personoplysninger, 2. Følsomme personoplysninger samt 3. Strafbare forhold og personnummer (CPR-nummer).

Sletning af data handler om ’uigenkaldelig’ sletning af personoplysninger fra alle registre og lagringsmedier i fx en forening. I skal fx sikre at personoplysninger I sletter ikke kan gendannes og bruges igen.

8. Råd til foreninger, der behandler personoplysninger

Her kommer en række råd om, hvordan I skal forholde jer, når I behandler personoplysninger på fx medlemmer, frivillige, ansatte og brugere.

Først og fremmest skal I huske, at folk selv ejer de personoplysninger og data, som de overlader til jer, mens de fx er frivillige eller medlemmer hos jer. I skal med andre ord passe godt på folks oplysninger og vide, hvornår I sletter dem.

1. Skab overblik over de personoplysninger, I har Det kan fx være medlems- eller brugeroplysninger som navn, adresse, mail og personnummer. Sørg også for at få overblik over, hvordan I håndterer, opbevarer og sletter oplysninger. Brug overblikket til at lægge en plan for arbejde med at gøre jeres forening klar til de nye regler.

2. Udarbejd en fortegnelse over de personoplysninger, I behandler. Fortegnelsen, der skal være skriftlig og tilgængelig internt i foreningen, skal beskrive:

  • De personoplysninger, I behandler
  • Foreningens dataansvarlige
  • Formålet med at behandle personoplysninger
  • Hvilke lovhjemler der er for behandling
  • Hvilke oplysninger I gemmer (og hvor længe)
  • Hvilke oplysninger I giver videre til aktører uden for foreningen (tredje part) 
  • Hvordan I opbevarer personoplysninger
  • Hvornår I sletter personoplysninger

Se mere om fortegnelser i guidens afsnit 4 samt Datatilsynets Vejledning om fortegnelse. Hent også vores skabelon til fortegnelser i foreninger (pdf). Skabelonen kan downloades på frivillighed.dk

3. Sørg for at opbevare personoplysninger sikkert. Det er en vurderingssag, hvornår personoplysningerne er sikkert opbevaret. Vi anbefaler, at personoplysninger i fysiske dokumenter skal opbevares i et aflåst skab. Digitale dokumenter med personoplysninger skal I sikre med adgangskoder, ligesom der skal være adgangskoder på de mobile enheder, pc’er og hjemmesider, I bruger til at tilgå persondata. Det gælder også frivillige og ansattes private enheder, når de har adgang til personoplysninger. Hvis I opbevarer persondata hos cloud-tjenester (fx Dropbox og Google Drev) skal I sikre jer, at tjenesten lever op til kravene i persondataforordningen.

Når I sender mails til jeres medlemmer fx med invitation til generalforsamling eller andre arrangementer, skal I bruge funktionen BCC, så den der modtager mailen ikke kan se, hvem I ellers har sendt den til.

4. Beskriv procedurer og arbejdsgange for, hvordan I behandler personoplysninger. Sørg for, at alle medlemmer, ansatte, frivillige og brugere kender reglerne og jeres procedurer for, hvordan og til hvad I bruger deres personoplysninger. Det er vigtigt, at frivillige og ansatte kende reglerne godt, så de ikke uforvarende opbevarer eller deler personoplysninger i it-programmer eller cloud-løsninger (fx Dropbox), som I ikke har en databehandleraftale med, eller som ikke er beskrevet i jeres fortegnelse. I skal kunne dokumentere at frivillige med flere er gjort bekendt med reglerne, hvis I vælger at gøre det mundtligt fx ved at beskrive det i jeres privatlivspolitik, fortegnelse eller vedtægter.

5. Udarbejd en ”slettepolitik”, hvor I begrunder, hvor længe det er relevant for jer at opbevare personoplysninger. Sørg for at have en procedure, der sikrer, at I ajourfører personoplysninger – fx medlemslister, der ikke er korrekte. Husk også at slette oplysninger og billeder, når de ikke længere er relevante.

6. Brug god tid på at udarbejde en privatlivspolitik, som beskriver hvorfor, hvordan og til hvad, I bruger folks personlige oplysninger. Politikken skal også give svar på, hvem man kan henvende sig til, hvis man vil have slettet sine oplysninger. Privatlivspolitikken skal være tilgængelig – fx på foreningens hjemmeside. Hent inspiration i Datatilsynets skabeloner til privatlivspolitik og i vores skabelon (pdf) som I kan downloade på frivillighed.dk   

7. Skab overblik over leverandører og eksterne samarbejdspartnere, der behandler data for jer. I skal indgå databehandleraftaler med alle jeres leverandører og eksterne samarbejdspartnere. Det kan være dem, der hoster jeres hjemmeside, jeres bogføringsfirma, de cloudtjenester, I benytter, eller dem, der ejer det online regnskabsprogram eller nyhedsmail-system, I bruger. Datatilsynet har en standardskabelon til databehandleraftaler, som I kan benytte.  

8. Udpeg en data-kontaktperson i foreningen. Foreningens ledelse kan udpege en kontaktperson, som håndterer henvendelser fra de personer, I behandler og registrere oplysninger om, ajourfører fortegnelser, har overblik over databehandleraftaler og kompetence til at overlade data til andre uden for foreningen – fx Nets, Skat med flere.

Kontakt Datatilsynet

Datatilsynet er myndighed på området og fører tilsyn med, om reglerne for behandling af persondata bliver overholdt. Hvis I har spørgsmål eller er i tvivl, om I overholder reglerne, så kontakt Datatilsynet.

Vi anbefaler, at I skriver jeres spørgsmål og overvejelser ned undervejs i arbejdet med at udforme fortegnelser, privatlivspolitik, databehandleraftaler mv. På den måde kan I altid dokumentere over for Datatilsynet, at I har foretaget saglige vurderinger af jeres databehandling.

Datatilsynets vejledninger, FAQ mv. om databeskyttelse

Få hjælp, hvis du oplever alvorlige forhold eller mistanke om lovovertrædelser i en frivillig social organisation

Har du viden om alvorlige forhold eller begrundet mistanke om overtrædelser af love, regler, kontrakter, snyd med offentlige puljemidler mv. i en forening, frivillig organisation, et frivilligt initiativ eller projekt på socialområdet, kan du videregive din viden til Whistleblowertilbud til det frivillige sociale område

Du kan videregive informationerne anonymt.

Vi anbefaler også
  • Musik i foreningen

    Regler for musikafgifter når foreningen bruger musik

    Få styr på de regler om afgift til Koda og Gramex, der gælder, når I bruger musik på jeres hjemmeside eller ved et offentligt tilgængeligt møde eller arrangement i foreningen.

  • Love og regler

    Regler for frivillige på dagpenge og efterløn

    Få overblik over de regler, som gælder for dig, der ønsker at være frivillig, mens du modtager dagpenge eller efterløn.

  • Love og regler

    Regler for frivillige på offentlige ydelser

    Få styr på de regler, der gælder, når du er frivillig samtidig med, at du modtager efterløn, dagpenge, kontanthjælp, sygedagpenge, førtidspension, folkepension, fleksjobløn eller er i et ressourceforløb.  

  • donation og indsamlinger

    Sådan får I godkendt foreningens indsamling

    Når foreninger og frivillige beder om bidrag, støtte eller donation - fysisk såvel som online - kræver det en tilladelse fra Indsamlingsnævnet, hvis indsamlingen skal være lovlig. Læs om, hvordan I får jeres indsamling godkendt, og hvordan I sikrer jer, at I overholder indsamlingsloven.

  • Foreningsjura

    Love og regler for frivillige i kommuner og regioner

    Få overblik over de love og regler, der gælder for frivillige, som arbejder i kommuner, regioner og offentlige institutioner. Læs også om de regler i som kommune, region eller institution skal være opmærksomme på, når I samarbejder med frivillige og foreninger.

Guide Serie
Udskriv kun fremhævet guide (pdf)

Downloads

GDPR - skabelon til privatlivspolitik - Pdf
GDPR - skabelon til privatlivspolitik - Word
GDPR - skabelon til fortegnelse -Pdf
GDPR - skabelon til fortegnelse - Word
Justitsministeriets vejledning om foreningers behandling af personoplysninger
Facebook
Twitter
Linkedin
Tilmeld nyhedsbrev