Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Vejledning om frivillige foreningers behandling af personoplysninger

NJORD Law Firm
07/02/2019
Vejledning om frivillige foreningers behandling af personoplysninger

I starten af januar offentliggjorde Justitsministeriet en vejledning om frivillige foreningers behandling af personoplysninger



Vejledningen er baseret på ofte stillede spørgsmål og kan derfor tjene som en god hjælp for de mange frivillige foreninger og organisationer, der måtte have spørgsmål til de nye regler i databeskyttelsesforordningen og databeskyttelsesloven (samlet ”persondatalovgivningen”).

Vejledningen gennemgår overordnet, hvad man som frivillig forening skal være særligt opmærksom på for at leve op til kravene i persondatalovgivningen. Der findes ingen undtagelser eller lempede krav, fordi der er tale om en forening. Persondatalovgivningen gælder således for både små og store foreninger – også selvom foreningen kun består af frivillige, og det således kun er frivillige, der behandler personoplysningerne.

Desuden besvarer vejledningen svar på en lang række spørgsmål, som frivillige foreninger og organisationer har stillet.

Nedenfor vil nogle af de væsentligste punkter fra vejledningen kort blive fremhævet og gennemgået.


Skab et overblik


Det første skridt i henhold til vejledningen er, at man som forening skal starte med at skabe sig et overblik over, hvilke personoplysninger der behandles, og hvor dataansvaret er placeret.

Hos NJORD anbefaler vi, at foreningen desuden danner sig et overblik over:

  • Hvordan personoplysninger behandles i foreningen (selve flowet)?

  • Hvor oplysningerne kommer fra?

  • Hvad oplysningerne bruges til?

  • Hvor oplysningerne opbevares?

  • Hvilke databehandlere anvendes?

  • Hvornår oplysninger slettes mv.?


Dette fører til, at man nemt kan udfylde den lovpligtige fortegnelse samtidig med, at det skaber et overblik over foreningens behandlingsaktiviteter.

Vejledningen beskriver, hvordan foreningen som helhed er dataansvarlig for de oplysninger, foreningen behandler, og hvordan ansvaret fordeles mellem lands- eller hovedforeninger og lokalforeninger.

Det er den dataansvarlige enhed, der er ansvarlig for behandlingen af personoplysninger, herunder for at indgå databehandleraftaler med eventuelle databehandlere og finde hjemler til at behandle oplysningerne lovligt. Størstedelen af foreninger vil have hjemmel til at behandle personoplysninger efter interesseafvejningsreglen, som fremgår af databeskyttelsesforordningens art. 6, stk. 1, litra f. Det er som udgangspunkt ikke nødvendigt at indhente samtykker til langt de fleste behandlingsaktiviteter.


De registreredes rettigheder


Efter at have dannet sig et overblik er næste skridt i henhold til vejledningen at opfylde oplysningspligten og have en plan for overholdelse af de registreredes rettigheder.

De øvrige rettigheder, der er mest relevante for foreninger, er:

  • Retten til at få indsigt i egne personoplysninger;

  • Retten til at få urigtige oplysninger berigtiget; og

  • Retten til at få personoplysninger slettet


Vær opmærksom på, at den registrerede ikke altid har ret til at få slettet oplysninger om sig.

Det anbefales, at der udarbejdes en procedure og skabeloner for, hvordan foreningen skal reagere på henvendelser vedrørende registrerede rettigheder, og hvordan det sikres, at oplysningspligten overholdes.

Hos NJORD anbefaler vi, at foreningen udpeger et eller flere medlemmer, eventuelt fra bestyrelsen, der er ansvarlige for at reagere på disse henvendelser. Der skal svares på en henvendelse uden unødig forsinkelse og senest én måned efter, at foreningen har modtaget anmodningen.


Overholdelse af grundlæggende principper


Foreningen skal ud over det ovennævnte også sikre, at de grundlæggende principper for behandling af personoplysninger overholdes. Dette kan eksempelvis sikres ved at sørge for:

  • Kun at indsamle de oplysninger, der er nødvendige til behandlingen, og hvortil der er et klart og legitimt formål,

  • At slette oplysningerne, når de ikke længere er nødvendige at gemme (dataminimering, formålsbegrænsning og opbevaringsbegrænsning),

  • At sikre, at det er lovligt at behandle oplysningerne, og at den registrerede ved, at oplysningerne behandles (lovlighed, rimelighed og gennemsigtighed); og ved

  • At passe på de oplysninger, som behandles (integritet og fortrolighed).

  • At passe på oplysningerne indebærer bl.a. at kryptere e-mails, hvis der sendes følsomme eller fortrolige oplysninger ud. Læs mere i vores tidligere nyhedsbrev om krav til kryptering.


Har du styr på din kryptering af e-mails fra 1. januar 2019?


Billeder


En del af de spørgsmål, som foreninger har stillet, vedrører brugen af billeder og offentliggørelse af billeder på internettet og i foreningsblade.

Der skelnes i praksis mellem situationsbilleder og portrætbilleder. Ved situationsbilleder forstås billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet, fx et billede taget under en fodboldkamp eller et socialt arrangement i foreningens regi. Portrætbilleder har til formål at afbilde en eller flere bestemte personer, der er let genkendelige, fx et holdbillede eller billeder af bestyrelsesmedlemmer.

Situationsbilleder kan som udgangspunkt offentliggøres på fx foreningens hjemmeside uden, at der er givet samtykke hertil, hvis billeder ikke udstiller, udnytter eller krænker dem, der afbildes. Portrætbilleder må derimod ikke offentliggøres uden samtykke.

Vejledningen beskriver desuden, hvilke overvejelser en forening skal gøre sig for at offentliggøre billeder i foreningsblade og på lukkede sider på internettet. Vær også opmærksom på, hvornår billeder kan offentliggøres på sociale medier, fx Facebook.


Følsomme personoplysninger


Udtømmende liste over følsomme personoplysninger:

  • Race eller etnisk oprindelse

  • Politisk, religiøs eller filosofisk overbevisning

  • Fagforeningsmæssigt tilhørsforhold

  • Genetiske data

  • Biometriske data med det formål entydigt at identificere en fysisk person

  • Helbredsoplysninger

  • Seksuelle forhold eller seksuel orientering


Der skal altid være en saglig grund til at indsamle personoplysninger, uanset om de er følsomme eller almindelige, og der må aldrig indsamles flere oplysninger end nødvendigt for at opfylde formålet.

Foreninger må – ligesom alle andre – som udgangspunkt ikke behandle følsomme oplysninger. Vær dog opmærksom på, at databeskyttelsesreglerne ikke gælder for manuel behandling, der ikke vil blive indeholdt i et register. En træner kan således godt mundtligt oplyse sit håndboldhold om, at en medspiller har brækket armen og derfor ikke kan deltage i kampe i en periode. Det kræver dog, at træneren ikke har fået disse oplysninger elektronisk, men fx har fået dem af en forælder gennem en telefonsamtale uden efterfølgende at gemme oplysningen.

Der kan være en god grund til, at en forening skal kunne behandle følsomme personoplysninger, fx hvis der findes et handicaphold i foreningen. Det kræver dog, at der findes en hjemmel i databeskyttelseslovgivningen. Det vil ofte være nødvendigt at indhente et samtykke.

I enkelte tilfælde vil selve oplysningen om medlemskab af foreningen være en følsom personoplysning i sig selv, det gælder fx, hvis man kun kan blive medlem af foreningen, hvis man har et bestemt handicap eller en bestemt sygdom.

CPR-numre er ikke en følsom oplysning og må som udgangspunkt behandles som en normal personoplysning, hvis det er nødvendigt, og der er et sagligt formål og hjemmel hertil. De færreste foreninger har dog et reelt behov for at behandle CPR-numre.

Se hele Datatilsynets vejledning her

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted