Nye regler for persondata: skal vi slette alle oplysninger vi har på medlemmerne?

29. maj 2018
persondata-det-nye-sort

Nej! Afdelingerne må heldigvis gerne kende sine medlemmer og registrere nødvendige oplysninger om dem!

Har du også fået de mange nyhedsmails om persondataforordningen?
Og er du også forvirret over, hvad der skal gøres?

Loven er vedtaget, men Datatilsynet arbejder fortsat på deres vejledninger, og der har derfor været uklarhed om, hvad der skal gøres. Der vil derfor muligvis løbende kunne komme nye fortolkninger af reglerne.

 

En oversigt ud fra hvad vi ved i dag
Vi bringer her en oversigt over, hvordan vi som organisation og lokale afdelinger skal forholde os til den nye persondataforordning ud fra de informationer vi har i dag.

Det væsentlige er, at vi skal forholde os til, hvordan vi behandler oplysninger om folks privatliv. Vi skal derfor lave en privatlivspolitik. Det betyder, at de nye regler også gælder for foreninger, og derfor skal I også i din afdeling forholde jer til, hvordan I behandler persondata. I kan starte med at spørge:

  • Hvad registrerer vi om medlemmer og medarbejdere?
  • Hvor har vi data liggende?
  • Hvem har adgang til data?

Hvis I kan svare på de tre spørgsmål, er I meget langt!


Persondata er en privat ting

En væsentlig pointe er, at persondata er en privat ting, vi som organisation har til låns, og vi må ”låne” det, så længe vi har behov for dem. Persondata må med andre kun opbevares, så længe der er behov for dem og dermed har et klart formål.  Et klart formål er fx grundlæggende oplysninger på vores medlemmer i form at navn, adresse, fødselsdato, kontaktoplysninger i form af mail, telefon, pårørende, skole. De oplysninger må/skal vi opbevare så længe medlemmet er aktivt og stiller lovgivningen krav om dokumentation må vi opbevare dem så længe der er krav om dette (typisk op til 5 år).

Derfor giver det god mening at lave en politik på området, som alle i afdelingen kender og følger.

Konkret kan det betyde, at:

  • frivillige medarbejdere skal slette mails og sms’er med personoplysninger som afbud, tilmeldinger og sygdom, så snart de ikke længere er aktuelle. Det betyder reelt, at når afdelingsaftenen eller arrangementet er afholdt, bør alle oplysninger om afbud og sygdom til netop det møde slettes, hvis der ikke længere er behov for dem. Man må også gerne beslutte i afdelingen, at det sker en gang om måneden.
  • deltagerlisten til sommerlejren skal følge reglerne slettes, når I kommer hjem fra sommerlejren, da dens formål med at skabe overblik på lejren er opnået. Hvis kommunen kræver, at I opbevarer deltagerlisten for at kunne modtage refusion for hytteleje, har I dog en god og lovlig grund til at opbevare deltagerlisten i længere tid.

Da både landsforbundet og afdelingerne modtager tilskud på baggrund af medlemmerne, skal vi kunne dokumentere medlemmerne for de seneste fem år. Derfor må almindelige oplysninger om medlemmerne tidligst slettes fem år (+indeværende år) efter, de har meldt sig ud.

 

Hvad skal afdelingerne gøre
Som afdeling er I ”dataansvarlig” og er derfor underlagt et lovkrav om, at I blandt andet skal have:

  • en skriftlig fortegnelse over, hvilke personoplysninger afdelingen arbejder med, hvor de er placeret og hvordan de anvendes.
  • en privatlivspolitik, hvor medlemmerne kan finde oplysninger om hvilke personoplysninger afdelingen arbejder med, hvor de er placeret og hvordan de anvendes.
  • databehandleraftaler med dem (for eksempel IT-udbydere) som afdelingen overlader data til. Vær opmærksom på, at det pt. er usikkert om gratis fildelingstjenester, som Dropbox og google drive vil kunne anvendes inden for reglerne.

Landsforbundet sørger for at have disse aftaler med Nemtilmeld, udbyder af vores medlemssystem osv. Så her er I dækket ind af vores aftale og skal ikke gøre noget.

Om Persondataforordningen – GDPR
Kravene kommer fra en EU-forordning, der trådte i kraft den 25. maj 2018. Den kaldes for ”Persondataforordningen” eller ”GDPR”. Og i udgangspunktet vil virksomheder og organisationer, kunne risikere store bøder, hvis de ikke har styr på det.

Da lovgivningen er ny og vejledningerne ikke udfærdiget, har vi fået en melding om, at vi som organisation skal have en plan for, hvordan vi arbejder med GDPR, som skal kunne fremvises, hvis datatilsynet kommer på besøg. Denne plan har vi!

Planen siger, at vi som organisation har implementeret GDPR den 1. oktober. I vil derfor frem til den 1. oktober modtage informationer og skabeloner, som I kan udfylde og tilpasse til det lokale. Vi sørger for, at der på hjemmesiden bliver den obligatoriske GDPR persondatabehandlingsoversigt. Det samme skal I som lokal afdeling sørge for, hvis den afviser fra standarden.

Vi har i mange år håndteret medlemmernes oplysninger, og har fast procedure for, hvordan vi håndterer medlemmernes oplysninger forsvarligt, herunder et sikret medlemssystem. Så på mange måder, er der ikke noget nyt – det nye er, at skal tydeliggøre, hvad vores procedurer er.

Persondataforordningen er en god anledning til at lave lidt forårsrengøring i afdelingen og få ryddet ud i gamle ringbind, lister og meget mere, så I er sikre på, at I ikke har info liggende, som I ikke bør. Husk at lister med navne og adresser ikke bare må smides ud med almindeligt affald, så enten skal det makuleres eller brændes.

Spørgsmål
Har du spørgsmål eller andet er du velkommen til at kontakt Administrativ Udviklingskonsulent Martin Meldgaard på Forbundskontoret: 20 62 42 23 – martin@dui.dk

Læs mere her
Danske vejledninger fra Datatilsynet
DUFs vejledning til foreninger
DIF og DGIs guide til idrætsforeninger