Siden er opdateret den 21. juni 2022
Også idrætsforeninger er omfattet af reglerne for, hvordan man skal håndtere persondata, GDPR. Vi har lavet en ‘mini-guide’ som hjælp til, hvordan din klub kommer godt igang:
Skab overblik og ryd op i klubbens personoplysninger:
- Ryd op i klubbens personoplysninger og gem kun relevante oplysninger om klubbens medlemmer og trænere / ledere (ulønnede og lønnede). Alle oplysninger, som ikke længere er relevante, bør slettes fra både medlemssystemer, e-mails osv.
- Relevante oplysninger om medlemmer er f.eks. kontaktoplysninger, fødselsdato (ikke CPR-nr.),
- indmeldelsesdato. For kampboksere også: startbogsnummer, lægekort, kampantal, vægtklasse.
- Relevante oplysninger om trænere / ledere er f.eks. hverv, ansættelseskontrakt, CPR-nr., kontooplysninger, trænerniveau, børneattest iht. gældende regler herom m.v.
- Sædvanlige sletteprocedurer:
- Almindelige oplysninger om medlemskab kan som udgangspunkt gemmes i 3 år efter udmeldelsesåret (kalenderåret) pga. dokumentationskrav for tilskud efter folkeoplysningsloven
- Almindelige oplysninger om ulønnede trænere og ledere bør slettes senest 1 år efter den pågældende er ophørt med sit hverv i klubben
- Relevante oplysninger om lønnede trænere kan typisk gemmes i 5 år efter fratrædelse
- Oplysninger om idrætsdeltagelse, sportslige præstationer og lederhverv i klubben kan gemmes, så længe de har en historisk værdi
- Husk at ovenstående er vejledende, og der kan være forhold, der begrunder en kortere eller længere opbevaringsperiode i konkrete tilfælde.
- Fastlæg procedurer, der sikrer, at personoplysninger opdateres, når der er ændringer – f.eks. hvis et medlem skifter mailadresse, telefonnummer eller lign.
Ovenstående gælder egne medlemssystemer, Excel, mail m.v. som benyttes i klubben. Også
medlemsoplysninger arkiveret fysisk (papir) skal håndteres efter ovenstående retningslinjer, fx lægekort.
Adgang til klubbens personoplysninger:
- Alene relevante personer i klubben bør have adgang til personoplysninger om klubbens medlemmer, trænere / ledere m.v. (bortset fra de oplysninger, som kan offentliggøres, jf. nedenfor). F.eks. bør kun få betroede personer have adgang til oplysninger om kontingentrestancer, kontonumre, CPR, kontrakter.
- Hvis der behandles følsomme oplysninger, f.eks. børneattester eller helbredsoplysninger, bør sikkerheden skærpes. Det bør sikres, at oplysningerne opbevares fortroligt og e-mail kommunikation, der indeholder personfølsomme oplysninger skal altid ske med kryptering.
Offentliggørelse af personoplysninger på klubbens hjemmeside:
- Medlemslister må ikke offentliggøres på hjemmesiden, men kan fremgå på intranet eller lign.
- Oversigt over trænere / ledere må offentliggøres. Det kræver dog samtykke fra træneren / lederen, hvis der sker offentliggørelse af billede eller private kontaktoplysninger (mobil / e-mail).
- Sportslige nyheder og resultater må gerne offentliggøres.
Offentliggørelse af billeder:
- Almindelige situations- og portrætbilleder fra sportslige og sociale aktiviteter må som udgangspunkt gerne offentliggøres på internettet. (Det gælder dog kun, såfremt at personerne på billedet ikke med rimelighed føler sig udstillet).
- Vær altid varsom, når der fremgår børn på billederne; generelt set anbefales det altid at indhente samtykke til brug af billeder af børn.
- Offentliggørelse af billeder til kommerciel brug kræver altid samtykke – uanset om der er tale om børn eller voksne.
Oplysningspligt overfor medlemmer, trænere og ledere m.v
- Klubben er dataansvarlig for håndteringen af personoplysninger om medlemmer, trænere / ledere m.v. Klubben er derfor forpligtet til at orientere disse personer om, hvordan deres oplysninger behandles, hvilket kan ske i en privatlivspolitik. Oplysningerne skal gives på det tidspunkt, oplysningerne indsamles, f.eks. ved indmeldelse, og kan placeres på hjemmeside ved indmeldelsesformular eller udleveres fysisk.
Hent skabelon til foreningens privatlivspolitik på DIF hjemmeside “Jura i foreningsdriften” under fanen ”Behandling af persondata” (Bilag 1).
Hvornår er det nødvendigt at indhente samtykke?
- Ved offentliggørelse af portrætbilleder for klubledelse og trænere på hjemmeside.
- Ved behandling af følsomme personoplysninger om medlemmer, trænere / ledere m.v., f.eks. indhentelse af børneattest, helbredsoplysninger m.v.
- Ved elektronisk markedsføring eller videregivelse af medlemsoplysninger til f.eks. sponsorer.
Dokumentationskrav (fortegnelse)
- Klubben er forpligtet til at dokumentere, hvordan klubben behandler personoplysninger om medlemmer, trænere / ledere m.v. Denne dokumentation opfyldes ved en såkaldt fortegnelse, hvori klubben skal beskrive, hvilke oplysninger der behandles, hvem der har adgang til oplysningerne osv. Fortegnelsen skal udleveres til Datatilsynet, hvis Datatilsynet beder om det.
DIF Har udarbejdet en skabelon til fortegnelse som kan findes på DIF hjemmeside “Behandling af persondata” (Bilag 2)
Databehandleraftaler:
- Hvis klubben gør brug af eksterne leverandører til at behandle personoplysninger, f.eks. leverandør af et it-system, lønbureau eller lign., er denne leverandør en databehandler, og der skal indgås en databehandleraftale mellem klubben og leverandøren.
DIF har udarbejdet en skabelon til databehandleraftale som kan findes på DIF hjemmeside “Behandling af persondata” (Bilag 3)
Andre opgaver:
- Udover oplysningspligten er klubben forpligtet til at opfylde en række rettigheder for medlemmer, trænere / ledere m.v. F.eks. skal klubben være i stand til at besvare anmodninger om indsigt eller sletning af oplysninger. Det anbefales, at klubben udpeger en person til at håndtere dette. Det bør altid overvejes, om en anmodning skal efterleves. F.eks. skal man ikke slette et medlems oplysninger, hvis klubben stadig har et dokumentationsbehov ift. folkeoplysningsloven.
- Klubben skal sikre en tilstrækkelig it-sikkerhed omkring behandlingen af personoplysninger, såvel ift. de valgte it-løsninger, men også have interne procedurer for, hvem der må have adgang til hvilke oplysninger, sletning af e-mails osv.
- Klubben bør også have en procedure i tilfælde af databrud (f.eks. et hackerangreb eller en mail med medlemslister, der sendes forkert), da der fremover gælder en pligt til at anmelde til Datatilsynet indenfor 72 timer efter, at databruddet er konstateret. Læs mere som sikkerhedsbrud på datatilsynet.dk
Yderligere hjælp til håndtering af personoplysninger
DGI og DIF’s vejledning til idrætsforeninger om behandling af personoplysninger: https://www.dgi.dk/foreningsledelse/viden-vaerktoejer/viden-vaerktoejer/jura/persondata
Datatilsynets hjemmeside: https://www.datatilsynet.dk/hvad-siger-reglerne
Download vejledningen som PDF her ->