Nye regler for persondata: Skal vi slette hele medlemslisten?

Nej! Din FDF-kreds må heldigvis gerne kende sine medlemmer og registrere nødvendige oplysninger om dem.

23. Apr 2018
Christina Gro Hansen 

Foto: Thomas Grinderslev

Landsforbundet arbejder på at udarbejde inspirationsmateriale, som jeres kreds kan bruge, når I på grund af den nye persondataforordning skal lave en privatlivspolitik.

De nye regler gælder også for foreninger, og derfor skal I også i din kreds forholde jer til, hvordan I behandler persondata. I kan starte med at spørge:

  • Hvad registrerer vi om medlemmer og ledere?
  • Hvor har vi data liggende?
  • Hvem har adgang til data?

Hvis I kan svare på de tre spørgsmål, er I meget langt.

Persondata må kun opbevares, så længe der er behov for dem

Et af kravene i persondataforordningen handler om, at data kun må opbevares, så længe, de er nødvendige for kredsen. Dette kræver, at alle i kredsen kender og følger kredsens privatlivspolitik. Reglerne betyder eksempelvis, at ledere skal slette mails og sms’er med personoplysninger som afbud, tilmeldinger og sygdom, så snart de ikke længere er aktuelle. Det betyder reelt, at når væbnermødet torsdag er afholdt, bør alle oplysninger om afbud og sygdom til netop det møde slettes, hvis der ikke længere er behov for dem. Man kan i kredsen også aftale, at man eksempelvis sletter en gang om måneden.

Et andet eksempel kunne være deltagerlisten til sommerlejren. Listen vil ifølge reglerne skulle slettes, når I kommer hjem fra sommerlejren, da dens formål med at skabe overblik på lejren er opnået. Hvis kommunen kræver, at I opbevarer deltagerlisten for at kunne modtage refusion for hytteleje, har I dog en god og lovlig grund til at opbevare deltagerlisten i længere tid.

Da både landsforbundet og kredsene modtager tilskud på baggrund af medlemmerne, skal vi kunne dokumentere medlemmerne for de seneste fem år. Derfor må almindelige oplysninger om medlemmerne tidligst slettes fem år (+indeværende år) efter, de har meldt sig ud. Hvis kredsen har en tradition for at invitere sine tidligere medlemmer til deres jubilæum, kan det eksempelvis også være i orden at gemme navnene på de tidligere medlemmer i længere tid. I skal dog huske at skrive i jeres privatlivspolitik, at I gør det, så medlemmerne ved, at det sker. Hvis et tidligere medlem beder om at blive slettet fra jubilæumslisten skal det naturligvis slettes med det samme.

Hvad skal kredsene gøre

Som kreds er I dataansvarlig og er derfor underlagt et lovkrav om, at I blandt andet skal have:

  1. en skriftlig fortegnelse over, hvilke personoplysninger kredsen arbejder med, hvor de er placeret og hvordan de anvendes.
  2. en privatlivspolitik, hvor medlemmerne kan finde oplysninger om hvilke personoplysninger kredsen arbejder med, hvor de er placeret og hvordan de anvendes.
  3. databehandleraftaler med dem (for eksempel IT-udbydere) som kredsen overlader data til. Vær opmærksom på, at det pt. er usikkert om gratis fildelingstjenester, som Dropbox og google drive vil kunne anvendes inden for reglerne. Mange anbefaler derfor at man ikke anvender dem til personoplysninger.

Skabeloner på vej

Landsforbundet arbejder i øjeblikket på at udarbejde skabeloner og vejledninger, som kredsen kan bruge. Da ikke alle kredse arbejder ens, er det meget vigtigt at skabelonerne tilrettes i hver enkelt kreds. For at sætte et fælles lederfokus på privatlivspolitikken, arbejdes der også på at udarbejde et materiale, der kan bruges på eksempelvis et ledermøde. Både for at afdække hvordan der arbejdes med persondata i kredsen, og for at sikre, at alle ledere kender de nye regler.

Så snart materialet er klart, vil der blive udsendt en mail til kredsledere og bestyrelse, og materialet vil også været tilgængeligt på FDFs hjemmeside. Da Datatilsynet stadig arbejder på deres vejledninger, vil der muligvis løbende kunne komme nye fortolkninger af reglerne.

Om Persondataforordningen - GDPR

Kravene kommer fra en EU-forordning, der træder i kraft den 25. maj 2018, og du har måske allerede i nyhederne hørt om Persondataforordningen eller GDPR, for virksomheder kan risikere meget store bøder, hvis de ikke har styr på det.

Forordningen er i høj grad til for at beskytte dig som forbruger, så du kan være mere tryg, når du afgiver dine personlige oplysninger til andre. Det sker eksempelvis når du handler på nettet, opretter en profil i en app eller deltager i en konkurrence, hvor du skal fortælle dem dit navn, alder og bopæl. Fra den 25. maj er der en fælles og mere præciseret lov, som de europæiske virksomheder, myndigheder og foreninger og mange flere skal overholde. Det betyder blandt andet, at virksomheder:

  • kun må beholde dine data så længe, de kan dokumentere et behov for det.
  • ikke må bruge dine data til andre formål, end det de er indsamlet til
  • skal sikre at dine oplysninger ikke kommer i andres hænder.

Mange af reglerne er uændrede ift. de gamle regler, og FDF er derfor også vant til at behandle medlemmernes oplysninger forsvarligt. Der er dog også en række nye krav, som landsforbundet og kredsene skal forholde sig til. Derudover bliver det muligt for Datatilsynet at udstikke nogle meget store bøder for brud på datasikkerheden. Der er ikke noget, der tyder på, at en FDF-kreds vil få en bøde, hvis den ikke overholder alle regler den 25. maj. Men man skal alligevel kunne vise, at man gør, hvad man kan for at leve op til reglerne og beskytte medlemmernes oplysninger.

Læs mere

Vejledninger til kredse
Danske vejledninger fra Datatilsynet
DUFs vejledning til foreninger
DIF og DGIs guide til idrætsforeninger
Læs også

100 ledere på Lederkursus i weekenden

100 ledere fra 15 forskellige kredse brugte en lørdag på online lederkursus
Læs mere

En syngende succes: 200 til sangaften i netværket

Med udgivelsen af March og lejr 2024 er der skabt musikalske&nbsp;</span><span>minder i</span><span>...
Læs mere

Så til søs

Kredsene bag Sejlcenter Viborg søsætter et nyt selvstændigt FDF-fællesskab.
Læs mere