FAQ

Få svar på de oftest stillede spørgsmål i GDPR.

Generelt om databeskyttelse

GDPR bliver relevant for jer, når jeres forening behandler personoplysninger, f.eks. om medlemmer, frivillige eller ansatte.

Læs mere om GDPR her

Få hjælp til at finde ud af, om I må behandle personoplysninger i trin 2: Spørg jer selv "hvorfor"

Databeskyttelsesforordningen beskytter oplysninger om en person, der er identificeret eller identificerbar. Det kan f.eks. være medlemmer, frivillige, ansatte og besøgende på hjemmesiden.

Når en oplysning kan knyttes til en person, er det en ”personoplysning”. Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder, og selv om disse kilder er utilgængelige for jeres forening, f.eks. navnet på indehaveren af en pc med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet).

Personoplysninger er f.eks. navn, e-mailadresse, CPR-nr., medlemsnummer, fagforeningsmedlemsskab, portrætfoto, civilstatus, IP-adresse, lokationsdata, medarbejderevalueringer, forbrugshistorik og produktkøb.

Når personoplysninger er ”følsomme” omtales de i databeskyttelsesforordningen som ”særlige kategorier af personoplysninger”. For disse kategorier af oplysninger gælder der andre og mere restriktive regler for, hvornår oplysningerne må behandles. Følsomme personoplysninger er oplysninger om: 

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsmæssigt tilhørsforhold
  • genetiske data
  • biometriske data til identificering af den registrerede person
  • helbredsoplysninger
  • seksuelle forhold eller oplysninger om seksuel orientering

CPR-numre og oplysninger om straffedomme og lovovertrædelser er hører ikke til kategorien ”særlige kategorier af oplysninger”, men er underlagt andre særregler.

Læs mere om personoplysninger her

Lyt til en episode om personoplysninger i Datatilsynets podcast om GDPR

Få et hurtigt overblik over typer af personoplysninger her

Få hjælp til at skabe jeres GDPR-overblik i trin 1: Skab overblik

En behandling af personoplysninger kan have mange former. Begrebet er så bredt defineret, at I som regel vil “behandle personoplysninger”, så snart I kommer i kontakt med personoplysninger om andre.

Det kan f.eks. være, hvis I indsamler navn, e-mail og tlf.nr om et medlem, eller hvis I opbevarer oplysninger om de frivillige i foreningen.

Læs mere behandling af personoplysninger her

Få hjælp til at skabe overblik over jeres behandlinger i trin 1: Skab overblik

GDPR gælder, når I behandler personoplysninger. Betegnelsen ”personfølsomme oplysninger” findes ikke i databeskyttelsesreglerne.

Databeskyttelsesforordningen opdeler personoplysninger i tre typer:

  • Personoplysninger (ikke-følsomme oplysninger)
  • Særlige kategorier af personoplysninger (følsomme oplysninger) 
  • Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

GDPR gælder, uanset hvilken type af personoplysninger I håndterer.

At I skal have et behandlingsgrundlag betyder groft sagt, at GDPR skal sige, at I gerne må håndtere (behandle) personoplysninger.  

Læs mere om, hvornår I har lov til at behandle personoplysninger i trin 2: Spørg jer selv "hvorfor"

Hvis I håndterer personoplysninger, hvor det er jer, der bestemmer, hvad der skal ske med dem, er I dataansvarlige. Det gælder også, selvom I får andre til at håndtere oplysningerne på vegne af jer, f.eks. en IT-leverandør.

Som dataansvarlige har I ansvaret for, at behandlingen af personoplysninger lever op til GDPR.

Det er foreningen – og ikke den enkelte frivillige eller ansatte - som stilles til ansvar, hvis GDPR ikke overholdes.

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud-leverandør og en udbyder af ekstern lønadministration ofte være databehandlere.

Læs mere om dataansvar i trin 7: I er også ansvarlige, når I deler

Læs mere om forskellen på en dataansvarlig og en databehandler her

Er I dataansvarlige, kan I finde yderligere hjælp til at overholde GDPR med Privacykompasset

Ja. Begge nævnte udbydere vil være databehandlere, og der skal derfor indgås en databehandleraftale.

De store teknologileverandører har typisk nogle standardiserede databehandleraftaler. Hvis de behandlinger, som jeres forening foretager er almindelig medlemskontakt og administration, vil en sådan aftale typisk være dækkende. Hvis jeres forening behandler oplysninger af særlige kategorier, eller andre personoplysninger, hvor risikoen for medlemmernes rettigheder er højere, vil det kræve en nærmere gennemgang inden aftalen indgås. 

Ja. I databehandleraftalen med databehandleren skal I fastlægge kravene til den behandling, som databehandleren skal udføre på vegne af foreningen. I det omfang en databehandler benytter sig af en underdatabehandler, skal databehandleren sikre sig, at underdatabehandleren behandler foreningens oplysninger efter samme vilkår som databehandleren.

I langt de fleste tilfælde vil det være den enkelte lokale forening, der er selvstændig dataansvarlig. Lands- eller hovedforeningen vil kun være ansvarlig for sin egen behandling af personoplysninger, mens den lokale forening er ansvarlig for deres egen behandling.

Ja. Foreningen skal dog sikre sig, at der er en passende og tilstrækkelig sikkerhed, når personoplysninger opbevares på en privat computer. Foreningen skal f.eks. fastlægge retningslinjer for behandlingen af medlemsoplysninger og løbende instruere de personer, der anvender en privat computer til foreningsarbejde.

Det skal også gøres klart, hvordan foreningen vil overholde de registreredes rettigheder f.eks. muligheden for at få indsigt eller rettet fejlagtige oplysninger. Foreningen bør fastlægge en procedure for, hvordan en anmodning om indsigt vil skulle håndteres.

Hvis den ansatte/frivillige stopper i foreningen, er det den dataansvarliges opgave at sikre sig, at computeren renses for alle personoplysninger og arbejdsrelaterede informationer. Foreningen bør som minimum sikre sig, at de har informeret den ansatte om at slette oplysningerne, og efterfølgende spørge ind til, om det er sket. Foreningen kan opbevare kommunikationen med den ansatte som dokumentation.

Generelt anbefaler Datatilsynet ikke, at private computere bruges til arbejdsmæssige sammenhænge, fordi en privat computer sjældent vil være lige så sikker som en arbejdscomputer udleveret af en professionel arbejdsgiver. I en forening vil computeren typisk være konfigureret og kontrolleret af den ansatte/frivillige selv og derfor sjældent opnår samme beskyttelse. Når først data bliver overført til en privat computer, stiger risikoen derfor ofte, at oplysningerne kan komme uvedkommende til kendskab.

Ja. Databeskyttelsesreglerne finder anvendelse, når I behandler personoplysninger. Størrelsen på foreningen er underordnet.

Ja. Det er et krav at udarbejde en fortegnelse, der beskriver, hvordan I behandler personoplysninger. Fortegnelsen fungerer samtidig som dokumentation for, at I som forening overholder reglerne. 

Læs mere om fortegnelse og kravene til den i Datatilsynets vejledning her.   

Indhentelse og videregivelse

Hvis I som dataansvarlige videregiver personoplysninger til en tredjepart, f.eks. en offentlig myndighed eller en faglig organisation, der selv bliver dataansvarlige for de modtagne oplysninger, skal I have en ”god grund” (et behandlingsgrundlag) for at videregive oplysningerne.  

Ligeledes skal modtageren have en ”god grund” (et behandlingsgrundlag) til at indsamle og behandle oplysningerne.

Læs mere om, hvad det vil sige at have en ”god grund” – altså et behandlingsgrundlag – i trin 2: Spørg jer selv ”hvorfor”

 

Ja.

Det vil særligt være tilfældet, hvis anden lovgivning siger, at I skal videregive personoplysninger til en offentlig myndighed. Det kan f.eks. være i forbindelse med indberetning af løn- og ferieoplysninger til SKAT eller i forbindelse med en ansøgning om sygedagpengerefusion.

Lyt til en episode om behandling af oplysninger om ansatte i Datatilsynets podcast om GDPR

Det er som regel ikke i strid med GDPR, hvis I sender eller modtager oplysninger til et medlem via e-mail, da forsendelsen i langt de fleste tilfælde vil være tilstrækkeligt sikker.

At forsendelsen er tilstrækkeligt sikker betyder, at e-mailsystemet sender krypteret (fx TLS 1.2), og medlemmet kan modtage krypteret (TLS 1.2).

Se en video om kryptering her

Få hjælp til mere IT-sikkerhed i trin 6: Husk sikkerheden

I må kun behandle medlemmets CPR-nummer, hvis medlemmet har givet sit samtykke og der er en saglig grund til det, det kunne f.eks. være kommunalt tilskud eller lignende - eller hvis loven siger det.

Ja. Efter interesseafvejningsreglen er det lovligt at indsamle oplysningerne. Det skyldes, at foreningens interesse i at indsamle oplysningerne vejer tungere end de registreredes interesse i det modsatte.

Som udgangspunkt må vi gerne videregive oplysninger omkring, hvem der er medlem af foreningen i et lukket forum. Det kan f.eks. være i form af en medlemsliste i et medlemsblad, eller på en lukket intranetside, som kun foreningens medlemmer har adgang til.

Ja, hvis I har fået samtykke fra ansøgerne. I så fald kan I opbevare ansøgningerne i et kortere tidsrum, f.eks. 6 måneder.

Ja, det må I gerne. Men det er en forudsætning, at ansøgeren for alvor er med i opløbet om stillingen som frivillig – det vil sige, at der skal være et reelt behov.

Man må ikke sende almindelige SMS’er fra sin private telefon til børn, man er frivillig for. Almindelige SMS-beskeder er hverken krypteret eller tilstrækkeligt sikre til at transmittere følsomme oplysninger. Man må dog gerne ringe til vedkommende fra sin private telefon og tage samtalen telefonisk, under forudsætning af at samtalen kan foregå fortroligt. Hvis man blot skriver en SMS, for at aftale et nyt mødetidspunkt, så er det også i orden.

Det må du godt, hvis fodboldklubben hverken behandler oplysningen om spillerens fod elektronisk eller i et manuelt register (dvs. hvis det manuelle materiale opbevares struktureret efter bestemte kriterier vedrørende personer). Hvis klubben derimod behandler oplysningen elektronisk eller i et manuelt register, hvor databeskyttelsesreglerne finder anvendelse, skal du have spillerens samtykke først.

Læs mere om kravene til et gyldigt samtykke her.

Som udgangspunkt må en forening ikke behandle følsomme personoplysninger. Derfor skal I finde en begrundelse blandt de undtagelser, der nævnes i databeskyttelsesforordningens artikel 9, stk. 2 om behandling af særlige kategorier af personoplysninger. Det vil i mange tilfælde betyde, at I skal have samtykke fra medlemmet.

Hvis der er tale om billeder, som kan virke udstillende, f.eks. billeder der indeholder personer, der danser og indtager alkohol ved en fest, kan sådanne billeder kun offentliggøres, hvis personerne på billedet har givet samtykke.  

Hvis der er tale om billeder, der er taget under roligere omgivelser - f.eks. for at fejre foreningens fødselsdag med et stykke lagkage eller til andre fælles arrangementer – vil I godt kunne offentliggøre sådanne billeder uden samtykke. I bør dog gøre opmærksom på, at der tages billeder, så folk har mulighed for at sige fra, f.eks. ved at indrette specifikke områder, hvor der ikke tages billeder. I skal under alle omstændigheder sikre jer, at et eventuelt billede ikke vil være udstillende for de personer, som er på billedet.

Læs mere om kravene til et gyldigt samtykke her. 

Behandling af personoplysninger skal ske til saglige formål og må ikke finde sted i længere tid, end det er nødvendigt i forhold til de formål. Ofte er billeder på en forenings hjemmeside offentliggjort til informative formål. Derfor er det i mange situationer svært at lægge et konkret tidspunkt, hvor behandlingen ikke længere siges at være nødvendig.

Bemærk: Hvis offentliggørelsen af et billede er baseret på et samtykke fra den registrerede, og denne person trækker sit samtykke tilbage, skal billedet slettes.

Sletning

Vi må ikke opbevare personoplysninger i længere tid end nødvendigt. Med andre ord må foreningen ikke fortsætte med at behandle personoplysninger, hvis der ikke er god grund til det.

Samtykke

Hvis et samtykke tilbagekaldes skal I stoppe med at håndtere, herunder også opbevare, de personoplysninger, som I har fået samtykke til at håndtere.  

Læs om samtykke her

Hvis et medlem har givet samtykke til, at I kan offentliggøre et billede af vedkommende i foreningens medlemsblad og den pågældende person trækker sit samtykke tilbage, skal I fjerne vedkommende - eksempelvis ved sløring fra eventuelle digitale udgaver af medlemsbladet, f.eks. en udgave I har liggende på hjemmesiden. Når I har gjort det, så gælder databeskyttelsesreglerne ikke længere, og I behøver derfor ikke at fjerne vedkommende fra fysiske medlemsblade, herunder blade som I allerede har distribueret.  

Et samtykke gælder som hovedregel indtil det trækkes tilbage. Kun hvis I slet ikke har gjort brug af et samtykke i en længere periode, f.eks. 2 år, bør I bede om samtykke på ny.

Så skal I udlevere en kopi af de personoplysninger, som I håndterer om vedkommende, og en række yderligere information om jeres håndtering af oplysninger.

Læs mere om jeres medlemmers rettigheder, og hvordan I bedst sikrer dem, i trin 5: Sørg for at have gode procedurer

Oplysningspligt

I må gerne have jeres persondatapolitik liggende i bunden af jeres hjemmeside.

I skal dog gøre noget aktivt for at give medlemmer og/eller frivillige den information, som fremgår af jeres persondatapolitik. Det kan I f.eks. gøre ved at have et direkte link til persondatapolitikken alle de steder, hvor jeres medlemmer og frivillige kan afgive oplysninger til jer. Det kan være, i forbindelse med udfyldelse af formularer på jeres hjemmeside, f.eks. når de tilmelder sig jeres nyhedsbrev. Det vil også være oplagt at indsætte linket til jeres persondatapolitik i jeres e-mailsignatur.

Læs mere om, hvad en persondatapolitik er, og hvordan I laver den i trin 4: Oplys om, at I behandler personoplysninger

Find endnu mere vejledning her

Nyhedsbreve

Ja. Ud fra interesseafvejningsreglen må man gerne sende en skrivelse ud til foreningens medlemmer om nyt i foreningen.

IT-leverandørforhold

Ja, der er ikke noget krav om, at det er jer, der skal lave databehandleraftalen.   

Det vigtigste er, at databehandleraftalen overholder kravene til en databehandleraftale. Forhør jer eventuelt hos jeres brancheforening, om de har set nærmere på databehandleraftalen.

Hør Datatilsynets podcast om kravene til en databehandleraftale her

Elektroniske enheder (PC, tablet, telefon mv.)

I skal sikre jer, at uvedkommende ikke kan få adgang til oplysningerne, der er på de elektroniske enheder. I bør derfor nulstille eller kryptere udstyret, så oplysningerne ikke kan tilgås af uvedkommende.

Se en video om kryptering her

Selvom jeres forening opkøber elektroniske enheder, gælder GDPR stadigvæk, hvis enhederne indeholder personoplysninger.

Brugte elektroniske enheder, som indeholder personoplysninger, skal nulstilles, så der ikke sker en behandling af personoplysninger i strid med loven.

IT-sikkerhed

Hvis en ansat i foreningen trykker på et usikkert link, skal I undersøge, om der er risiko for, at uvedkommende har fået adgang til jeres systemer og derved potentielt til personoplysninger.

Læs om falske mails og sms'er - phishing og smishing her

I skal starte med at forsøge at begrænse skaden, f.eks. ved at kontakte den forkerte modtager og bede pågældende om at slette e-mailen.

Hvis den frivillige har sendt personoplysninger til en uvedkommende, som f.eks. indeholder følsomme personoplysninger eller på anden vis kan have konsekvenser for den registrerede, er der tale om et brud på persondatasikkerheden. Bruddet skal anmeldes til Datatilsynet indenfor 72 timer. 

Hvis det er usandsynligt at e-mailen, der er blevet sendt ud til den forkerte modtager, har konsekvenser for den registrerede, så skal man ikke anmelde noget til Datatilsynet. Det kan f.eks. være, hvis man sender en e-mail ud til den forkerte modtager, for at bekræfte en tilmelding til et arrangement. I skal dog som forening føre en liste over sådanne fejl hvoraf det fremgår, hvorfor I ikke har underrettet tilsynet.

Find råd til at undgå simple sikkerhedsbrud her

Hør vores podcast om brud på persondatasikkerheden her

I kan anmelde et brud på persondatasikkerheden her

Ja.

Et brud på persondatasikkerheden kan f.eks. være, hvis I sender personoplysninger til en forkert modtager.

Hvis I er i tvivl om, der er tale om et brud på persondatasikkerheden, så kan I ringe til Datatilsynet og få en generel vejledning.

Hør Datatilsynets podcast-episode om brud på persondatasikkerheden her

I kan anmelde et brud på persondatasikkerheden her