Vejledning om frivillige foreningers behandling af personoplysninger
I starten af januar offentliggjorde Justitsministeriet en vejledning om frivillige foreningers behandling af personoplysninger
Vejledningen er baseret på ofte stillede spørgsmål og kan derfor tjene som en god hjælp for de mange frivillige foreninger og organisationer, der måtte have spørgsmål til de nye regler i databeskyttelsesforordningen og databeskyttelsesloven (samlet ”persondatalovgivningen”).
Vejledningen gennemgår overordnet, hvad man som frivillig forening skal være særligt opmærksom på for at leve op til kravene i persondatalovgivningen. Der findes ingen undtagelser eller lempede krav, fordi der er tale om en forening. Persondatalovgivningen gælder således for både små og store foreninger – også selvom foreningen kun består af frivillige, og det således kun er frivillige, der behandler personoplysningerne.
Desuden besvarer vejledningen svar på en lang række spørgsmål, som frivillige foreninger og organisationer har stillet.
Nedenfor vil nogle af de væsentligste punkter fra vejledningen kort blive fremhævet og gennemgået.
Skab et overblik
Det første skridt i henhold til vejledningen er, at man som forening skal starte med at skabe sig et overblik over, hvilke personoplysninger der behandles, og hvor dataansvaret er placeret.
Hos NJORD anbefaler vi, at foreningen desuden danner sig et overblik over:
- Hvordan personoplysninger behandles i foreningen (selve flowet)?
- Hvor oplysningerne kommer fra?
- Hvad oplysningerne bruges til?
- Hvor oplysningerne opbevares?
- Hvilke databehandlere anvendes?
- Hvornår oplysninger slettes mv.?
Dette fører til, at man nemt kan udfylde den lovpligtige fortegnelse samtidig med, at det skaber et overblik over foreningens behandlingsaktiviteter.
Vejledningen beskriver, hvordan foreningen som helhed er dataansvarlig for de oplysninger, foreningen behandler, og hvordan ansvaret fordeles mellem lands- eller hovedforeninger og lokalforeninger.
Det er den dataansvarlige enhed, der er ansvarlig for behandlingen af personoplysninger, herunder for at indgå databehandleraftaler med eventuelle databehandlere og finde hjemler til at behandle oplysningerne lovligt. Størstedelen af foreninger vil have hjemmel til at behandle personoplysninger efter interesseafvejningsreglen, som fremgår af databeskyttelsesforordningens art. 6, stk. 1, litra f. Det er som udgangspunkt ikke nødvendigt at indhente samtykker til langt de fleste behandlingsaktiviteter.
De registreredes rettigheder
Efter at have dannet sig et overblik er næste skridt i henhold til vejledningen at opfylde oplysningspligten og have en plan for overholdelse af de registreredes rettigheder.
De øvrige rettigheder, der er mest relevante for foreninger, er:
- Retten til at få indsigt i egne personoplysninger;
- Retten til at få urigtige oplysninger berigtiget; og
- Retten til at få personoplysninger slettet
Vær opmærksom på, at den registrerede ikke altid har ret til at få slettet oplysninger om sig.
Det anbefales, at der udarbejdes en procedure og skabeloner for, hvordan foreningen skal reagere på henvendelser vedrørende registrerede rettigheder, og hvordan det sikres, at oplysningspligten overholdes.
Hos NJORD anbefaler vi, at foreningen udpeger et eller flere medlemmer, eventuelt fra bestyrelsen, der er ansvarlige for at reagere på disse henvendelser. Der skal svares på en henvendelse uden unødig forsinkelse og senest én måned efter, at foreningen har modtaget anmodningen.
Overholdelse af grundlæggende principper
Foreningen skal ud over det ovennævnte også sikre, at de grundlæggende principper for behandling af personoplysninger overholdes. Dette kan eksempelvis sikres ved at sørge for:
- Kun at indsamle de oplysninger, der er nødvendige til behandlingen, og hvortil der er et klart og legitimt formål,
- At slette oplysningerne, når de ikke længere er nødvendige at gemme (dataminimering, formålsbegrænsning og opbevaringsbegrænsning),
- At sikre, at det er lovligt at behandle oplysningerne, og at den registrerede ved, at oplysningerne behandles (lovlighed, rimelighed og gennemsigtighed); og ved
- At passe på de oplysninger, som behandles (integritet og fortrolighed).
At passe på oplysningerne indebærer bl.a. at kryptere e-mails, hvis der sendes følsomme eller fortrolige oplysninger ud. Læs mere i vores tidligere nyhedsbrev om krav til kryptering.
Billeder
En del af de spørgsmål, som foreninger har stillet, vedrører brugen af billeder og offentliggørelse af billeder på internettet og i foreningsblade.
Der skelnes i praksis mellem situationsbilleder og portrætbilleder. Ved situationsbilleder forstås billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet, fx et billede taget under en fodboldkamp eller et socialt arrangement i foreningens regi. Portrætbilleder har til formål at afbilde en eller flere bestemte personer, der er let genkendelige, fx et holdbillede eller billeder af bestyrelsesmedlemmer.
Situationsbilleder kan som udgangspunkt offentliggøres på fx foreningens hjemmeside uden, at der er givet samtykke hertil, hvis billeder ikke udstiller, udnytter eller krænker dem, der afbildes. Portrætbilleder må derimod ikke offentliggøres uden samtykke.
Vejledningen beskriver desuden, hvilke overvejelser en forening skal gøre sig for at offentliggøre billeder i foreningsblade og på lukkede sider på internettet. Vær også opmærksom på, hvornår billeder kan offentliggøres på sociale medier, fx Facebook.
Følsomme personoplysninger
Udtømmende liste over følsomme personoplysninger:
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske data
- Biometriske data med det formål entydigt at identificere en fysisk person
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
Der skal altid være en saglig grund til at indsamle personoplysninger, uanset om de er følsomme eller almindelige, og der må aldrig indsamles flere oplysninger end nødvendigt for at opfylde formålet.
Foreninger må – ligesom alle andre – som udgangspunkt ikke behandle følsomme oplysninger. Vær dog opmærksom på, at databeskyttelsesreglerne ikke gælder for manuel behandling, der ikke vil blive indeholdt i et register. En træner kan således godt mundtligt oplyse sit håndboldhold om, at en medspiller har brækket armen og derfor ikke kan deltage i kampe i en periode. Det kræver dog, at træneren ikke har fået disse oplysninger elektronisk, men fx har fået dem af en forælder gennem en telefonsamtale uden efterfølgende at gemme oplysningen.
Der kan være en god grund til, at en forening skal kunne behandle følsomme personoplysninger, fx hvis der findes et handicaphold i foreningen. Det kræver dog, at der findes en hjemmel i databeskyttelseslovgivningen. Det vil ofte være nødvendigt at indhente et samtykke.
I enkelte tilfælde vil selve oplysningen om medlemskab af foreningen være en følsom personoplysning i sig selv, det gælder fx, hvis man kun kan blive medlem af foreningen, hvis man har et bestemt handicap eller en bestemt sygdom.
CPR-numre er ikke en følsom oplysning og må som udgangspunkt behandles som en normal personoplysning, hvis det er nødvendigt, og der er et sagligt formål og hjemmel hertil. De færreste foreninger har dog et reelt behov for at behandle CPR-numre.