Privatlivspolitik i foreningen: GDPR-krav og skabelon
"GDPR" fik i sin tid mange bestyrelser til at frygte, at foreningslivet skulle drukne i jura. Otte år senere kan vi sige det mere afdramatiseret: Reglerne gælder også for jer – men det, en almindelig forening faktisk skal gøre, kan skrives på én hånd. En privatlivspolitik på hjemmesiden, en intern fortegnelse, fornuftige billedvaner og en sletterutine. Det er stort set listen.
Guiden her går kravene igennem ét ad gangen med afsæt i Datatilsynets egen vejledning for små foreninger – og slutter med en skabelon til privatlivspolitikken, som kassereren kan udfylde på en aften. Handler jeres spørgsmål specifikt om, hvad infoskærmen i klubhuset må vise af navne og billeder, står det i den beslægtede guide om GDPR og infoskærme.
Det korte svar: GDPR gælder uanset foreningens størrelse – allerede medlemslisten er personoplysninger. Men kravene er til at overskue: oplys medlemmerne (privatlivspolitik), hold en intern fortegnelse, vær varsom med billeder, og slet det, I ikke længere skal bruge.
Indhold
1 GDPR gælder også jer – men mindre dramatisk end frygtet
Datatilsynet formulerer det uden omsvøb: databeskyttelsesreglerne gælder, når man behandler personoplysninger – foreningens størrelse er underordnet. Og "behandler personoplysninger" gør I allerede: medlemslisten med navne, adresser og fødselsdatoer, kontingentopkrævningen, holdlisterne og billederne fra klubfesten er alt sammen omfattet.
Til gengæld har Datatilsynet lavet et helt vejledningsunivers målrettet små foreninger, bygget over syv trin: skab overblik, spørg jer selv "hvorfor?", husk at slette, oplys om behandlingen, hav gode procedurer, pas på sikkerheden – og husk ansvaret, når I deler. Det er de trin, resten af guiden folder ud. Det, I ikke skal: ansætte jurister, udpege en databeskyttelsesrådgiver (mere om det i FAQ'en) eller holde op med at tage billeder til stævner.
2 Oplysningspligten: derfor skal I have en privatlivspolitik
Kernen i medlemmernes rettigheder er oplysningspligten: foreningen har pligt til at fortælle medlemmer, frivillige og ansatte, at I har oplysninger om dem – hvilke, til hvad, med hvilket grundlag, hvor længe, og hvilke rettigheder de har. Får I oplysninger fra andre end personen selv, skal informationen gives senest inden en måned.
Datatilsynets egen anbefaling til, hvordan pligten opfyldes, er præcis det, denne guide hedder: en privatlivspolitik, der ligger lettilgængeligt på foreningens hjemmeside, og som der linkes til, når et nyt medlem melder sig ind. Politikken skal dække otte ting: hvem der er dataansvarlig (foreningen, med kontakt til bestyrelsen), hvilke oplysninger I behandler, formål og retsgrundlag, videregivelse, opbevaring og sletning, billeder, medlemmernes rettigheder – og klageadgangen til Datatilsynet. Alle otte afsnit ligger færdigformuleret i skabelonen her:
3 Fortegnelsen: det interne dokument, de fleste mangler
Ved siden af den offentlige privatlivspolitik kræver reglerne en fortegnelse – et internt dokument, der beskriver, hvordan foreningen behandler personoplysninger. Mange små foreninger tror, de er undtaget, fordi der findes en undtagelse for organisationer med under 250 ansatte. Men undtagelsen gælder kun lejlighedsvise behandlinger, og Datatilsynet bruger selv en forening som eksempel: en medlemsliste, der opbevares løbende, er ikke lejlighedsvis – heller ikke selvom kontingentet kun opkræves én gang i kvartalet.
Det lyder værre, end det er. Datatilsynet har en færdig skabelon til fortegnelsen – endda med et idrætsforeningsmedlem som eksempel – og for en almindelig forening er den udfyldt på en aften: hvilke oplysninger, hvorfor, hvem har adgang, hvornår slettes de. Fortegnelsen skal ikke offentliggøres; den holdes internt i bestyrelsen og er samtidig det bedste grundlag for at skrive privatlivspolitikken – de to dokumenter er i praksis inderside og yderside af samme jakke.
4 Billeder af medlemmer: hvad gælder i dag?
Billedreglerne er det område, hvor flest foreninger stadig navigerer efter et forældet kort. Den gamle tommelfingerregel – situationsbilleder må offentliggøres, portrætbilleder kræver samtykke – blev afskaffet af Datatilsynet i 2019. I dag gælder en helhedsvurdering: karakteren af billedet, formålet med offentliggørelsen, og hvem der er på det.
For foreninger oversætter Datatilsynet det selv ret konkret: almindelige billeder fra stævner og kampe kan typisk offentliggøres uden samtykke – mens billeder, der kan virke udstillende for de afbildede, kun må offentliggøres med samtykke. Tre gode vaner dækker langt det meste: informér om, at der tages billeder til arrangementer; indhent skriftligt samtykke til portrætlignende billeder (især af børn); og tag altid et billede ned uden diskussion, hvis den afbildede beder om det. Reglerne for billeder og navne på klubhusets skærm følger samme logik – dem har vi gennemgået i GDPR-guiden om infoskærme.
5 Sletning, deling og hverdagens gode vaner
- Slet efter planen. Oplysninger om udmeldte medlemmer skal ikke gemmes "for en sikkerheds skyld" – fastsæt en frist i privatlivspolitikken og følg den. Undtagelsen er regnskabsbilag, som bogføringsreglerne kræver opbevaret længere – det samspil er beskrevet i guiden om skat, moms og CVR i foreningen.
- Del med omtanke. Ansvaret følger med, når I deler: medlemslister sendes ikke rundt i løse regneark, holdlister deles kun med dem, der skal bruge dem, og databehandlere – medlemssystemet, mailtjenesten og en eventuel skærmleverandør – skal have en databehandleraftale.
- Gør politikken synlig. En privatlivspolitik, ingen kan finde, opfylder ikke sit formål. Læg den på hjemmesiden, link den i indmeldelsen – og gør som med alt andet vigtigt i klubben: gør den nem at få fat i, fx med en QR-kode på opslagstavlen eller skærmen, der fører direkte til den.
- Gør ansvaret til en post. Skriv "persondata" på et navn i bestyrelsens forretningsorden, præcis som kiosk og sponsorer. Så bliver rutinerne holdt ved lige – også efter næste generalforsamling.
Ofte stillede spørgsmål
Gælder GDPR også for små foreninger?
Ja. Datatilsynet siger det direkte: databeskyttelsesreglerne gælder, når man behandler personoplysninger – foreningens størrelse er underordnet. En medlemsliste med navne og kontaktoplysninger er allerede en behandling af personoplysninger, så stort set alle foreninger er omfattet.
Skal foreningen have en privatlivspolitik?
Foreningen har oplysningspligt: medlemmer, frivillige og ansatte skal have at vide, hvilke oplysninger foreningen har om dem, til hvad og hvor længe. Datatilsynet anbefaler selv at opfylde pligten med en privatlivspolitik, der ligger lettilgængeligt på foreningens hjemmeside og linkes ved indmeldelse – så ja, i praksis skal I have en.
Må foreningen offentliggøre billeder af medlemmerne?
Datatilsynet skelner ikke længere mellem situations- og portrætbilleder – det afgørende er en helhedsvurdering af billedet og formålet. Almindelige billeder fra stævner og kampe kan typisk offentliggøres uden samtykke, mens billeder, der kan virke udstillende, kræver samtykke fra de afbildede. Tag altid et billede ned, hvis den afbildede beder om det.
Skal en lille forening have en fortegnelse over behandlinger?
Ja. Undtagelsen for organisationer under 250 ansatte gælder kun lejlighedsvise behandlinger – og en medlemsliste, der opbevares løbende, er ikke lejlighedsvis. Datatilsynet har en færdig skabelon til fortegnelsen for idrætsforeninger, og for en lille forening er den udfyldt på en aften. Fortegnelsen er intern og skal ikke offentliggøres.
Skal foreningen have en databeskyttelsesrådgiver (DPO)?
Nej – almindelige idræts- og fritidsforeninger opfylder ikke betingelserne. Private organisationer skal kun have en DPO, hvis kerneaktiviteten er systematisk overvågning af personer i stort omfang eller behandling af følsomme oplysninger i stort omfang, og alle betingelser skal være opfyldt samtidig.
Var denne guide nyttig?
Skriv ikke personlige oplysninger.
Tak for hjælpen!
"Da vi lavede rutinerne i Borup Fitness, var overraskelsen, hvor lidt det fyldte, når først fortegnelsen og privatlivspolitikken var skrevet. Det svære var aldrig reglerne – det var at få det gjort første gang."
Nicklas Wøhlk Udvikler af KlubKlar · IT-ansvarlig, Borup Fitness gennem 7 årSkal skærmen i klubhuset også holde sig på reglernes side?
KlubKlar hoster i EU og leverer en databehandleraftale som en del af aftalen – og GDPR-guiden om infoskærme viser, hvad skærmen må vise. Skriv til os, hvis I vil se det hele i en gratis demo.
Lad os tage en snak
Udfyld formularen, så vender vi tilbage hurtigst muligt – typisk inden for få timer.
- Uforpligtende snak om jeres behov
- Svar typisk inden for få timer
- Gratis demo-adgang til administrationspanelet – sendes på mail, når vi har talt sammen
Foretrækker du telefonen? +45 61 67 39 79
Eller skriv til kontakt@klubklar.dk