Dataforordningen i Klejtrup Idrætsforening
Idrætsforeninger og virksomheder har i mange år været underlagt love og regler for opbevaring og håndtering af personoplysninger. Dog er der fra den 25. maj 2018 trådt nye og indskærpede regler i kraft, som i daglig tale kaldes GDPR.
Pkt. 1 Behandling af personoplysninger i Klejtrup Idrætsforening
Persondataloven erstattes af persondataforordningen den 25. maj 2018. Den nye forordning erstatter den gamle persondatalov fra 2000 omkring muligheden for at indsamle, opbevare, anvende og videregive personoplysninger.
Hvad er nyt? I forhold til tidligere er der tilkommet nogle skærpelser i forhold til nogle af de pligter omkring behandling af personoplysninger og dokumentation herfor, samt orientering til den registrerede.
Pkt. 2 Hvad er personoplysninger?
Personoplysninger er en hver form for oplysninger, som er personhenførbar dvs. oplysninger der kan bruges til at identificere en person, det kan fx være navn, adresse og telefonnummer mv. men det kan også være konkurrencedeltagelse, ranglistepoint og skadessituation mv.
Der er dog undtagelser for hvad der er personoplysninger som fx oplysninger om leverandører og sponsorer mv.
Personoplysninger inddeles i 2 kategorier
Gruppe 1: Denne kategoriseers som almindelige personoplysninger og omfatter langt de fleste oplysninger i en forening fx kontaktoplysninger, idrætslige interesser, økonomi, resultater mv.
Gruppe 2: Er kategorien af personoplysninger med en højere rang af beskyttelse grundet de er af mere følsom karakter
Pkt. 3 Klejtrup Idrætsforening er er dataansvarlig
Enhver håndtering af personoplysninger i form af indsamling, registrering, anvendelse, opbevaring og videregivelse mv. er omfattet af reglerne fx er en forening dataansvarlig har etableret et medlemsregister uanset om det er elektronisk eller på papir, stort eller lille.
Eksempler på personoplysninger kunne være på medlemmer, trænere, bestyrelsesmedlemmer og dommere mv.
Da Klejtrup Idrætsforening benytter sig at et eksternt IT-system for medlemsregistrering er der til formålet indhentet en databehandleraftale hos den pågældende it udbyder.
Pkt. 4 Grundprincipperne for behandling af personoplysninger
Klejtrup Idrætsforening som forening og dataansvarlig behandler personoplysninger, og følger nogle fundamentale regler
Pkt. 5 Klejtrup Idrætsforenings behandling af personoplysninger
Når man som Idrætsforening behandler personoplysninger, er der fem væsentlige, der skal overvejes.
Pkt. 5.1 Hvilke oplysninger må man som Idrætsforening registrere og gemme?
Klejtrup Idrætsforening er som forening nødt til at have en eller anden form for register over vores medlemmer, og typisk registrerer Klejtrup Idrætsforening data som tilhører kategorien af almindelige personoplysninger f.eks. navn, adresse, fødselsdato, telefonnummer, e-mailadresse, tillidsposter og andre hverv i relation til foreningen.
Pkt. 5.2 Hvad skal Klejtrup Idrætsforening fortælle sine medlemmer, når der registreres oplysninger om dem? Og hvad betyder oplysningspligt og privatlivspolitik?
Medlemmer og frivillige skal informeres om, hvad foreningens formål er med at behandle personoplysninger, og hvor længe oplysningerne opbevares. Denne oplysningspligt kan opfyldes ved at offentliggøre en privatlivspolitik, der beskriver de pågældende forhold. En sådan privatlivspolitik skal være tilgængelig for foreningens medlemmer og ledere f.eks. på foreningens hjemmeside. Privatlivspolitikken kan også opfyldes ved at udlevere privatlivspolitikken i fysisk form.
Pkt. 5.3 Hvad må Klejtrup Idrætsforening gøre med oplysninger om sine medlemmer?
De oplysninger, som Klejtrup Idrætsforening har registreret om medlemmerne, må kun anvendes i overensstemmelse med det formål, som de oprindeligt er tiltænkt til. Hvis foreningen ønsker at videregive oplysninger om et medlem til andre udenfor organisationerne, vil det normalt kræve samtykke fra det enkelte medlem.
Pkt. 5.4 Hvad må Klejtrup Idrætsforening gøre med oplysninger om sine trænere og frivillige?
Når det kommer til behandling af personoplysninger på trænere og frivillige, så vil der i flere henseender være behov for behandle personoplysninger, der er tillagt en højere grad af beskyttelse f.eks. kræves cpr-nummer ift. Indberetning af skat, ligesom indhentelse af børneattester.
Grundlaget for registrering og videregivelse skal omtales i oplysningspligten og fortegnelsen, så behandlingen fremstår som oplyst og velbegrundet overfor den registrerede, og dette kan dokumenteres overfor Datatilsynet.
Pkt. 5.5 Hvilke krav stilles der til datasikkerheden og dokumentation i Klejtrup Idrætsforening?
En dataansvarlig skal sørge for, at behandlingen af personoplysninger sker med en passende sikkerhed dvs. at der kun må være adgang til oplysningerne for foreningens ledelse fx bestyrelsesmedlemmer og ledere mv. og der skal være tilstrækkelig it-sikkerhed med bl.a. brug af et sikkert password og opdateret firewall. Ved benyttelse af cloudbaseret løsninger skal udbyderen kunne garantere for sikkerheden i databehandleraftalen.
Pkt. 6 Fortegnelsespligt (dokumentationskrav)
Med en fortegnelsespligt menes der, at Klejtrup Idrætsforening skal kunne dokumentere, hvordan personoplysninger behandles dvs. Klejtrup Idrætsforening har en dataansvarlig i bestyrelsen, som er overordnet ansvarlig for datasikkerheden forstået på den måde at vedkommende er den udførende del, og den som vedligeholder dokumentation mv., dog er hele bestyrelsen er som sådan ansvarlig for datasikkerheden og ansvaret kan ikke hænges på en enkelt person.
Conventus: Klejtrup Idrætsforening benytter Conventus til medlemsregistrering og regnskab, hvor bestyrelsen har administrator rettigheder og derved kan se alle elementer i systemet. Trænere oprettes årligt ved opstartsmøde og sikres at de kun har ret til at se medlemslister for det eller de hold der er trænere for. Ligeledes har kasserer adgang til Conventus med administrator rettigheder.
Dropbox: Er Klejtrup Idrætsforenings sted for opbevaring af filer, billeder og øvrig elektronisk data. Ligesom for systemet til medlemsregistrering er det kun bestyrelsen og kasserer der har adgang til systemet.
Sikring af adgang til systemer: Ved udskiftning i bestyrelsen, så er det den dataansvarlige der sikrer adgang til nye bestyrelsesmedlemmer og fratagelse af rettigheder for de fratrådte bestyrelsesmedlemmer og at password udskiftes.
Pkt. 7 Den registreredes rettigheder
Den registrerede har rettighed til til fx indsigt i oplysningerne om sig selv, om rettelse af forkerte oplysninger og om indsigelse (Fx anmodning om sletning) Idrætsforeningen kan kontakte hovedorganisationerne ved denne type af henvendelser for information og assistance.
Pkt. 8 Brud på sikkerheden
Hvis Klejtrup Idrætsforening fejlagtigt kommer til at lække oplysninger, bliver hacket eller på anden vis oplever et brud på datasikkerheden, skal Klejtrup Idrætsforening i nogle tilfælde anmelde dette til Datatilsynet inden for 72 timer efter at sikkerhedsbruddet er opdaget.
Tilfælde der skal anmeldes til Datatilsynet er kun, når der er en særlig risiko for de registrerede, og efter at foreningen har været i dialog med hovedorganisationen.
Pkt. 9 Billeder på hjemmesiden
Nogle billeder må offentliggøres på hjemmesiden, og andre må ikke..
Almindelige situationsbilleder fra idrætsaktiviteter og fra foreningens sociale liv kan som udgangspunkt ligges frit på hjemmesiden. Også selvom de enkelte personer kan genkendes. Men hvis et situationsbillede kan udstille eller krænke en person, kræver offentliggørelsen samtykke. Det kan fx være tilfældet med billeder fra en klubfest, hvor to personer kysser hinanden. I nogle idrætsgrene skal foreningen være tilbageholdende med, og måske helt undgå at offentliggøre billeder af børn.
Pkt. 1 Behandling af personoplysninger i Klejtrup Idrætsforening
Persondataloven erstattes af persondataforordningen den 25. maj 2018. Den nye forordning erstatter den gamle persondatalov fra 2000 omkring muligheden for at indsamle, opbevare, anvende og videregive personoplysninger.
Hvad er nyt? I forhold til tidligere er der tilkommet nogle skærpelser i forhold til nogle af de pligter omkring behandling af personoplysninger og dokumentation herfor, samt orientering til den registrerede.
Pkt. 2 Hvad er personoplysninger?
Personoplysninger er en hver form for oplysninger, som er personhenførbar dvs. oplysninger der kan bruges til at identificere en person, det kan fx være navn, adresse og telefonnummer mv. men det kan også være konkurrencedeltagelse, ranglistepoint og skadessituation mv.
Der er dog undtagelser for hvad der er personoplysninger som fx oplysninger om leverandører og sponsorer mv.
Personoplysninger inddeles i 2 kategorier
Gruppe 1: Denne kategoriseers som almindelige personoplysninger og omfatter langt de fleste oplysninger i en forening fx kontaktoplysninger, idrætslige interesser, økonomi, resultater mv.
Gruppe 2: Er kategorien af personoplysninger med en højere rang af beskyttelse grundet de er af mere følsom karakter
- Følsomme oplysninger fx oplysninger om helbredsmæssige forhold, seksuelle forhold, etnisk baggrund, politisk eller religiøs overbevisning mm.
- Oplysninger om strafbare forhold
- CPR-nummer
Pkt. 3 Klejtrup Idrætsforening er er dataansvarlig
Enhver håndtering af personoplysninger i form af indsamling, registrering, anvendelse, opbevaring og videregivelse mv. er omfattet af reglerne fx er en forening dataansvarlig har etableret et medlemsregister uanset om det er elektronisk eller på papir, stort eller lille.
Eksempler på personoplysninger kunne være på medlemmer, trænere, bestyrelsesmedlemmer og dommere mv.
Da Klejtrup Idrætsforening benytter sig at et eksternt IT-system for medlemsregistrering er der til formålet indhentet en databehandleraftale hos den pågældende it udbyder.
Pkt. 4 Grundprincipperne for behandling af personoplysninger
Klejtrup Idrætsforening som forening og dataansvarlig behandler personoplysninger, og følger nogle fundamentale regler
- Der skal altid være et klart og sagligt formål med at behandle oplysningerne
- Der må ikke behandles flere oplysninger end nødvendigt i forhold til det saglige formål
- Herudover skal de registrerede oplysninger altid være korrekte og relevante
- Desuden gælder det for enhver form for behandling af personoplysninger, at behandlingen skal baseres på en af de lovlige grunde, som oplistes i forordningen - dette kaldes en behandlingshjemmel.
Pkt. 5 Klejtrup Idrætsforenings behandling af personoplysninger
Når man som Idrætsforening behandler personoplysninger, er der fem væsentlige, der skal overvejes.
Pkt. 5.1 Hvilke oplysninger må man som Idrætsforening registrere og gemme?
Klejtrup Idrætsforening er som forening nødt til at have en eller anden form for register over vores medlemmer, og typisk registrerer Klejtrup Idrætsforening data som tilhører kategorien af almindelige personoplysninger f.eks. navn, adresse, fødselsdato, telefonnummer, e-mailadresse, tillidsposter og andre hverv i relation til foreningen.
Pkt. 5.2 Hvad skal Klejtrup Idrætsforening fortælle sine medlemmer, når der registreres oplysninger om dem? Og hvad betyder oplysningspligt og privatlivspolitik?
Medlemmer og frivillige skal informeres om, hvad foreningens formål er med at behandle personoplysninger, og hvor længe oplysningerne opbevares. Denne oplysningspligt kan opfyldes ved at offentliggøre en privatlivspolitik, der beskriver de pågældende forhold. En sådan privatlivspolitik skal være tilgængelig for foreningens medlemmer og ledere f.eks. på foreningens hjemmeside. Privatlivspolitikken kan også opfyldes ved at udlevere privatlivspolitikken i fysisk form.
Pkt. 5.3 Hvad må Klejtrup Idrætsforening gøre med oplysninger om sine medlemmer?
De oplysninger, som Klejtrup Idrætsforening har registreret om medlemmerne, må kun anvendes i overensstemmelse med det formål, som de oprindeligt er tiltænkt til. Hvis foreningen ønsker at videregive oplysninger om et medlem til andre udenfor organisationerne, vil det normalt kræve samtykke fra det enkelte medlem.
Pkt. 5.4 Hvad må Klejtrup Idrætsforening gøre med oplysninger om sine trænere og frivillige?
Når det kommer til behandling af personoplysninger på trænere og frivillige, så vil der i flere henseender være behov for behandle personoplysninger, der er tillagt en højere grad af beskyttelse f.eks. kræves cpr-nummer ift. Indberetning af skat, ligesom indhentelse af børneattester.
Grundlaget for registrering og videregivelse skal omtales i oplysningspligten og fortegnelsen, så behandlingen fremstår som oplyst og velbegrundet overfor den registrerede, og dette kan dokumenteres overfor Datatilsynet.
Pkt. 5.5 Hvilke krav stilles der til datasikkerheden og dokumentation i Klejtrup Idrætsforening?
En dataansvarlig skal sørge for, at behandlingen af personoplysninger sker med en passende sikkerhed dvs. at der kun må være adgang til oplysningerne for foreningens ledelse fx bestyrelsesmedlemmer og ledere mv. og der skal være tilstrækkelig it-sikkerhed med bl.a. brug af et sikkert password og opdateret firewall. Ved benyttelse af cloudbaseret løsninger skal udbyderen kunne garantere for sikkerheden i databehandleraftalen.
Pkt. 6 Fortegnelsespligt (dokumentationskrav)
Med en fortegnelsespligt menes der, at Klejtrup Idrætsforening skal kunne dokumentere, hvordan personoplysninger behandles dvs. Klejtrup Idrætsforening har en dataansvarlig i bestyrelsen, som er overordnet ansvarlig for datasikkerheden forstået på den måde at vedkommende er den udførende del, og den som vedligeholder dokumentation mv., dog er hele bestyrelsen er som sådan ansvarlig for datasikkerheden og ansvaret kan ikke hænges på en enkelt person.
Conventus: Klejtrup Idrætsforening benytter Conventus til medlemsregistrering og regnskab, hvor bestyrelsen har administrator rettigheder og derved kan se alle elementer i systemet. Trænere oprettes årligt ved opstartsmøde og sikres at de kun har ret til at se medlemslister for det eller de hold der er trænere for. Ligeledes har kasserer adgang til Conventus med administrator rettigheder.
Dropbox: Er Klejtrup Idrætsforenings sted for opbevaring af filer, billeder og øvrig elektronisk data. Ligesom for systemet til medlemsregistrering er det kun bestyrelsen og kasserer der har adgang til systemet.
Sikring af adgang til systemer: Ved udskiftning i bestyrelsen, så er det den dataansvarlige der sikrer adgang til nye bestyrelsesmedlemmer og fratagelse af rettigheder for de fratrådte bestyrelsesmedlemmer og at password udskiftes.
Pkt. 7 Den registreredes rettigheder
Den registrerede har rettighed til til fx indsigt i oplysningerne om sig selv, om rettelse af forkerte oplysninger og om indsigelse (Fx anmodning om sletning) Idrætsforeningen kan kontakte hovedorganisationerne ved denne type af henvendelser for information og assistance.
Pkt. 8 Brud på sikkerheden
Hvis Klejtrup Idrætsforening fejlagtigt kommer til at lække oplysninger, bliver hacket eller på anden vis oplever et brud på datasikkerheden, skal Klejtrup Idrætsforening i nogle tilfælde anmelde dette til Datatilsynet inden for 72 timer efter at sikkerhedsbruddet er opdaget.
Tilfælde der skal anmeldes til Datatilsynet er kun, når der er en særlig risiko for de registrerede, og efter at foreningen har været i dialog med hovedorganisationen.
Pkt. 9 Billeder på hjemmesiden
Nogle billeder må offentliggøres på hjemmesiden, og andre må ikke..
Almindelige situationsbilleder fra idrætsaktiviteter og fra foreningens sociale liv kan som udgangspunkt ligges frit på hjemmesiden. Også selvom de enkelte personer kan genkendes. Men hvis et situationsbillede kan udstille eller krænke en person, kræver offentliggørelsen samtykke. Det kan fx være tilfældet med billeder fra en klubfest, hvor to personer kysser hinanden. I nogle idrætsgrene skal foreningen være tilbageholdende med, og måske helt undgå at offentliggøre billeder af børn.