Persondataforordningen: Tre vigtige tilføjelser du skal kende

Den nye persondataforordning har været undervejs længe, når den træder i kraft 25. maj 2018. Det betyder, at foreninger nu skal være mere opmærksomme på, hvad de har af data og hvordan de opbevarer det.

Den nye persondataforordning er en god mulighed for at få ryddet op i foreningens systemer og data.Foto: Jepser Enggaard Olesen

Sidder du i din forening og er usikker på, hvad den nye persondataforordning kommer til at betyde for jer, kan du starte med at tage det helt roligt. Der er nemlig ikke noget af det, I gør rigtigt nu, som bliver forbudt. Data er stadig tilladt at indsamle og opbevare til legitimt brug.

Med følsomme data som CPR, etnicitet, seksualitet og straffeforhold er det vigtigt, at I har indhentet samtykke. Dette er mest relevant i forhold til trænere og frivillige, da I ikke må spørge medlemmer om følsomme oplysninger. Trænere giver ofte samtykke til at indhente disse oplysninger ved kontrakt, men de har stadig krav på at vide, at I har dem og hvordan I opbevarer det.

Der er dog tre væsentlige tilføjelser i den nye persondataforordning, som vi vil gøre dig lidt klogere på herunder.

Foreninger skal kunne redegøre for data

Det første er, at I som forening skal finde ud af, hvilke systemer I bruger, og hvilke data I har liggende på disse systemer. Det er ligegyldigt, om det er Conventus, Dropbox, Excelark eller et fjerde opbevaringssystem.

”Medlemmerne har givet foreningen disse data, men foreningen skal kunne redegøre for dem og udlevere dem til det enkelte medlem, hvis denne kræver det. Jeg vil anbefale at lave lister med, hvilke data man opbevarer og gøre det tilgængeligt for medlemmerne på sin hjemmeside,” siger Flemming Mølgaard, foreningskonsulent i DGI Østjylland.

”Derudover er det vigtigt at have en privatlivspolitik, hvor foreningen fortæller, hvordan man forholder sig til billeder. Foreninger må bruge situationsbilleder uden samtykke, men portrætter og holdbilleder skal den fotograferede aktivt give samtykke til at bruge,” fortsætter Flemming Mølgaard.

Medlemmerne skal være trygge ved at have data hos foreningen

Den anden ting er, at foreninger skal slette data, når de ikke længere er i brug. Der kan dog være situationer, hvor foreningen skal beholde data i op til fem år for at få tilskud fra det offentlige eller til bogføring. I disse tilfælde er det tilladt at opbevare medlemmernes data, også selvom det nu er irrelevant for foreningen. 

Og sidste vigtige element er, at datasikkerheden skal være på plads. Foreningen skal vide, hvor de har data og hvem der har adgang til dem. Det betyder, at trænere ikke længere skal have adgang til spillernes data, når de ikke er trænere mere.

”Ansvaret for datasikkerhed gælder også, hvis man som forening har overdraget sin medlemsdata til Conventus, Dropbox eller lignende. Her er det vigtigt at have en aftale med den specifikke databehandler,” forklarer Flemming Mølgaard.

De nævnte tre elementer er med til, at det enkelte medlem føler sig tryg ved, at foreningen opbevarer deres data. Og samtidigt er det en god anledning til at få delt viden om data i bestyrelsen og få ryddet op i foreningens systemer og data.