Siden 2018 har alle organisationer – også foreninger – skullet overholde GDPR. Det lyder måske skræmmende, men for de fleste foreninger handler det om sund fornuft og god datahygiejne. Denne guide giver jer overblikket.
Hvad er GDPR?
Kort forklaret
GDPR (General Data Protection Regulation):
- EU-forordning om databeskyttelse
- Gælder alle der behandler persondata
- Også frivillige foreninger
- Trådte i kraft 25. maj 2018
Formålet
GDPR skal sikre:
- Borgernes kontrol over egne data
- Transparens om databehandling
- Sikker opbevaring af data
- Ret til at blive glemt
Gælder GDPR for foreninger?
Ja, hvis I behandler persondata
Persondata er f.eks.:
- Navne
- Adresser
- Emailadresser
- Telefonnumre
- CPR-numre
- Billeder
- Betalingsoplysninger
- Indsamling
- Opbevaring
- Brug
- Deling
- Sletning
Hvad skal foreninger gøre?
Grundlæggende krav:
De vigtigste principper
1. Lovlighed og rimelighed
I skal have et grundlag for at behandle data:
- Samtykke (personen har sagt ja)
- Kontrakt (nødvendigt for medlemskab)
- Retlig forpligtelse (loven kræver det)
- Legitime interesser (rimelig grund)
2. Formålsbegrænsning
Data må kun bruges til det oplyste formål:
- Indsamlet til medlemsadministration → brug til medlemsadministration
- Skal I bruge data til nyt formål → få nyt samtykke
3. Dataminimering
Indsaml kun hvad I har brug for:
- Behøver I CPR-nummer? (sjældent)
- Behøver I fødselsdato? (måske, til aldersgrupper)
- Behøver I adresse? (til kontingentopkrævning?)
4. Rigtighed
Hold data opdaterede:
- Giv medlemmer mulighed for at rette
- Fjern forældede oplysninger
- Tjek regelmæssigt
5. Opbevaringsbegrænsning
Slet når I ikke længere har brug for data:
- Udmeldte medlemmer → slet efter rimelig tid
- Gamle event-tilmeldinger → slet
- Dokumentation til regnskab → gem i lovpligtig periode
6. Sikkerhed
Beskyt data mod:
- Uautoriseret adgang
- Tab
- Ødelæggelse
- Lækage
Samtykke
Hvornår kræves samtykke?
Samtykke er nødvendigt ved:
- Nyhedsbreve (udover det nødvendige)
- Billeder til hjemmeside/sociale medier
- Deling med tredjeparter
- Følsomme oplysninger (helbred, etc.)
Gyldigt samtykke
Krav til samtykke:
- Frivilligt givet
- Specifikt (ikke generelt)
- Informeret (de ved hvad de siger ja til)
- Utvetydigt (aktivt, ikke forudfyldt)
- Kan trækkes tilbage
Eksempel på samtykketekst
For nyhedsbrev: ``` ☐ Ja, jeg vil gerne modtage nyhedsbreve fra [Foreningen] med information om aktiviteter og nyheder. Du kan til enhver tid afmelde dig via link i nyhedsbrevet. ```
For billeder: ``` ☐ Jeg giver samtykke til, at billeder af mig kan bruges på foreningens hjemmeside og sociale medier. ```
Registreredes rettigheder
Medlemmer har ret til:
Sådan håndterer I forespørgsler
Hvis et medlem spørger:
Praktisk GDPR-compliance
Fortegnelse over behandlingsaktiviteter
Dokumentér:
- Hvilke data behandler I?
- Hvad bruges de til?
- Hvem har adgang?
- Hvor opbevares de?
- Hvornår slettes de?
Privatlivspolitik
I skal have en skriftlig politik:
- Hvem er dataansvarlig?
- Hvilke data behandles?
- Hvad bruges data til?
- Hvem deles data med?
- Hvordan beskyttes data?
- Hvilke rettigheder har medlemmer?
- Hvordan kontaktes I?
Skabelon til privatlivspolitik
``` Privatlivspolitik for [Foreningsnavn]
Databehandleraftaler
Når I bruger eksterne systemer:
- Conventus, Mailchimp, etc.
- De er "databehandlere"
- Der skal være en aftale
Særlige situationer
Børn og unge
Ekstra forsigtighed:
- Under 13 år: Forælders samtykke til det meste
- Under 18 år: Forælders samtykke til billeder
- Vær ekstra varsom med billeder af børn
Følsomme oplysninger
Særlige kategorier (kræver eksplicit samtykke):
- Helbredsoplysninger (allergier, handicap)
- Religiøs overbevisning
- Politisk tilhørsforhold
- Seksuel orientering
Billeder
Billeder er persondata:
- Få samtykke til offentliggørelse
- Vær opmærksom på børnebilleder
- Respektér hvis nogen vil have slettet
- Informér ved events om fotografering
- Lad folk melde fra
- Slet ved anmodning
Hjemmeside og cookies
Cookie-samtykke:
- Hvis I bruger cookies ud over nødvendige
- Analytics, Facebook Pixel, etc.
- Cookie-banner med valg
Databrud
Hvad er et databrud?
Eksempler:
- Hacket email med medlemsoplysninger
- Mistet USB med medlemsliste
- Sendt medlemsliste til forkert modtager
- Stjålet computer med data
Hvad skal I gøre?
Ved databrud:
Anmeldelse til Datatilsynet
Skal anmeldes hvis:
- Risiko for fysiske personers rettigheder
- Undtagelse: Usandsynligt at det udgør risiko
Ansvar i foreningen
Dataansvarlig
Foreningen er dataansvarlig:
- Bestyrelsen har det overordnede ansvar
- Kan delegere praktisk håndtering
Databeskyttelsesrådgiver (DPO)
De fleste foreninger behøver IKKE en DPO.
Krav kun ved:
- Systematisk overvågning i stor skala
- Behandling af følsomme data i stor skala
Praktisk fordeling
Overvej:
- Hvem har ansvar for GDPR-compliance?
- Hvem håndterer henvendelser?
- Hvem vedligeholder dokumentation?
Tjekliste: GDPR for foreninger
Dokumentation
Processer
Teknisk
Kommunikation
Print jeres privatlivspolitik
Det kan være praktisk at have privatlivspolitikken på papir til nye medlemmer. Tonerland har billige printerpatroner.
Hjemmeside og GDPR
Tjek jeres hjemmeside:
- Privatlivspolitik synlig
- Cookie-samtykke (hvis relevant)
- Sikker forbindelse (https)
- Kontaktformular med samtykke
Ofte stillede spørgsmål
Må vi have billeder af medlemmer på hjemmesiden?
Ja, hvis:
- I har samtykke
- Det er klart hvad billederne bruges til
- Folk kan bede om at få dem fjernet
Hvor længe må vi gemme data?
Så længe der er et formål:
- Medlemsdata: Så længe de er medlemmer + rimelig tid
- Regnskabsdata: 5 år (lovkrav)
- Marketingdata: Så længe samtykke gælder
Må vi dele medlemslister?
Generelt nej:
- Ikke til kommercielle formål
- Ikke uden samtykke
- Undtagelse: Til forbund/organisationer hvis det fremgår af formål
Hvad hvis et tidligere medlem vil slettes?
I skal slette:
- Medmindre I har lovligt grundlag for at beholde
- Regnskabsdata skal ofte gemmes (lovkrav)
- Dokumentér anmodning og handling
Kan vi få bøder?
I teorien ja, men:
- Datatilsynet fokuserer på vejledning
- Foreninger får sjældent bøder
- Alvorlige brud kan straffes
Ressourcer
Danske ressourcer
Datatilsynet:
- datatilsynet.dk
- Vejledninger til foreninger
- Skabeloner
- Har vejledninger til idrætsforeninger
- Skabeloner til privatlivspolitik
Konklusion
GDPR for foreninger handler om:
- Sund fornuft
- Respekt for medlemmers data
- Dokumentation
- God datahygiejne
Husk: Perfekt compliance er svært – gør jeres bedste, dokumentér jeres overvejelser, og vis vilje til at forbedre jer.
Læs også: IT-sikkerhed for foreninger og Medlemsstyring