Persondataforordningen – hvad betyder det for mig og min klub?

Persondataforordningen – hvad betyder det for mig og min klub?

24. maj 2018 Af Line B

Idrætsforeninger i har mange år været underlagt persondataloven, som beskriver, hvordan personfølsomme oplysninger skal behandles. Fra d. 25/5 2018 træder nye regler dog i kraft – persondataforordningen eller GDPR. Reglerne er udarbejdet i EU og gælder både virksomheder og frivillige organisationer. Samtidig træder den nye, danske databeskyttelseslov i kraft.

Danmarks Idrætsforbund, DIF, har udarbejdet en pjece med vejledninger til, hvordan man som idrætsforening skal forholde sig. Dansk Ride Forbund har efter repræsentantskabsmødet sendt en mail rundt til klubberne med link til DIF. Information kan ikke umiddelbart fremsøges på rideforbund.dk, og vi har på Ridesport.nu derfor udelukkende forholdt os til materialet fra DIF.

Krav om øget dokumentation

I udgangspunktet er der ikke de store ændringer i forhold til indsamling, opbevaring, videregivelse og anvendelse af persondata i forhold til persondataloven fra 2000. Den store ændring kommer i forhold til kravene om dokumentation for, hvordan oplysningerne bliver behandlet og om orientering af den registrerede.

Der stilles helt overordnet fire krav til persondata og behandling heraf:

  1. I skal altid have et sagligt formål med at behandle personoplysninger,
    og I skal begrænse behandlingen til det, der er
    nødvendigt i forhold til det saglige formål. Denne del er det
    vigtigste at have styr på.
  2. I skal kunne dokumentere, at I har overblik over jeres behandling
    af personoplysninger: Hvilke oplysninger behandles, hvem
    behandler dem, hvor arkiveres de m.v. Dette skal beskrives i en
    såkaldt fortegnelse.
  3. I skal orientere den registrerede (medlemmer, trænere m.v.)
    om, hvilke oplysninger der behandles og hvorfor. Dette kan ske
    i en privatlivspolitik.
  4. I skal have en tilpas datasikkerhed, og I skal i nogle tilfælde
    anmelde brud på sikkerheden til Datatilsynet.

Hvad betyder det i praksis

Når det kommer til registrering af oplysninger, har klubben helt overordnet brug for og derfor lov til at registrere almindelige personoplysninger, det være sig navn, adresse, fødselsdag og lignende. Disse oplysninger kan gemmes, indtil de ikke længere er relevante for foreningen. Hvor lang tid dette er, skal fremgå af dokumentationen, ligesom også den dataansvarlige, og hvordan oplysningerne indsamles og behandles, skal fremgå. Her har DIF udarbejdet eksempler på, hvordan man kan skrive de relevante dokumenter.

Medlemmer og frivillige skal informeres om, at der indsamles oplysninger, og hvordan de bliver behandlet. Her er dokumenterne fra DIF også til stor hjælp. Disse kan eventuelt offentliggøres på klubbens hjemmeside, så de til enhver tid er tilgængelige for både medlemmer og frivillige.

Der stilles også krav til datasikkerheden. Her skal en dataansvarlig sørge for, at data ikke kommer i de forkerte hænder. Data må kun være tilgængelig for klubbens ledelse (bestyrelse, ledere, etc.). Ligger det digitalt, skal det således være beskyttet med password og opdateret firewall. Ligger det i fysisk form, skal det være utilgængeligt for uvedkommende. Når man i denne sammenhæng taler om en dataansvarlig, er det vurderet, at det er foreningen, der er dataansvarlig. DIF anbefaler, at bestyrelsen udpeger en dataansvarlig, der holder styr på, at reglerne overholdes.

Forordningen træder i kraft i morgen, fredag, og det er således her, der er frist for at have implementeret ændringerne i klubben.