GDPR i branchen
Behandling af personoplysninger i foreninger
Behandling af personoplysninger i foreninger er almindelig. Foreninger behandler f.eks. personoplysninger i medlemsregistret. Alle virksomheder, organisationer og offentlige organer, der behandler personoplysninger, skal overholde GDPR, som også omfatter foreninger.
Foreninger
GDPR hjælper med at styrke de rettigheder, som enkeltpersoner har med hensyn til deres privatliv. Det er ligegyldigt, om det er en non-profit organisation eller en økonomisk sammenslutning.
Der er også mange foreninger, der behandler personoplysninger om børn, såsom sportsklubber, og så er det vigtigt at vide, at reglerne er strengere.
Behandling af personoplysninger i foreninger i overensstemmelse med GDPR
De fleste foreninger behandler personoplysninger for at kunne drive deres virksomhed. I sådanne tilfælde er sammenslutningen den dataansvarlige, da det er sammenslutningen, der afgør, hvordan og hvorfor personoplysningerne skal behandles. Derfor skal foreningen sørge for at overholde GDPR, som står for EU’s generelle forordning om databeskyttelse.
Desuden kan to sammenslutninger være fælles dataansvarlige. Desuden kan en sammenslutning engagere databehandlere, f.eks. når de sikkerhedskopierer personoplysninger til en cloudtjeneste, der tilbydes af en tredjepartsudbyder.
Eksempler på, hvornår foreninger behandler personoplysninger
Indsamling
Når foreningen indsamler personoplysninger, såsom navn og telefonnummer, fra foreningens medlemmer.
Medlemsregister
Når foreningen fører et register med oplysninger om foreningens medlemmer.
Sikkerhedskopiering
I forbindelse med, at foreningen foretager en backup af medlemmernes personoplysninger til en cloud-tjeneste, for at kunne genskabe dem i tilfælde af, at de ved et uheld eller ulovligt slettes eller ændres.
Behandling af følsomme personoplysninger i foreninger
Følsomme personoplysninger er i henhold til GDPR ekstra personoplysninger, der er beskyttelsesværdige, og som kan tillades behandlet, men i mange tilfælde er det forbudt at behandle dem. Eksempler på følsomme personoplysninger er data, der afslører oplysninger om en persons medlemskab af fagforeninger, etnisk oprindelse eller religiøse overbevisninger.
Oplysninger om medlemskab af en fagforening eller et trossamfund udgør følsomme personoplysninger
Oplysninger om en persons medlemskab af en fagforening eller et trossamfund er derfor følsomme personoplysninger i henhold til databeskyttelsesforordningens artikel 9. Behandlingen af sådanne særlige kategorier af personoplysninger er tilladt på grundlag af en af undtagelserne i databeskyttelsesforordningens artikel 9. Vær opmærksom på, at foreninger, der behandler følsomme personoplysninger, skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte oplysningerne. Derudover skal behandlingen af sådanne særlige kategorier af personoplysninger finde sted inden for rammerne af foreningens legitime aktiviteter.
Er det tilladt at behandle oplysninger om en persons medlemskab af et religiøst samfund eller politisk parti?
Hvis en person er medlem af et religiøst samfund, kan medlemskabet selv afsløre medlemmets religiøse overbevisning. Dette udgør følsomme personoplysninger som omhandlet i artikel 9, der som hovedregel er forbudt at behandle. Der er dog en undtagelse, som trossamfundet kan anvende i dette tilfælde, den såkaldte medlemsfritagelse. Det samme gælder for politiske partier, da medlemskab af det politiske parti afslører oplysninger om medlemmets politiske synspunkter.
Undtagelse for medlemskab i artikel 9, stk. 2, litra d)
I henhold til fritagelsen for medlemskab i databeskyttelsesforordningens artikel 9, stk. 2, litra d), er det tilladt at behandle personoplysninger vedrørende medlemskabet, hvis behandlingen:
- Kun vedrører aktive medlemmer eller tidligere medlemmer eller andre personer, som i Organisationens øjemed har regelmæssig kontakt med Organisationen, og
- Personoplysningerne vil kun blive videregivet uden for organisationen eller til et andet medlem baseret på den registreredes aktive samtykke.
Menneskerettighedsdomstolens afgørelse om behandling af personoplysninger i forbindelse med religiøse samfunds dør-til-dør-bankning
I Finland og Den Europæiske Menneskerettighedsdomstol er der blevet ført retssager vedrørende indsamlingen af personoplysninger og de navnelister, som trossamfundet Jehovas Vidner har udarbejdet under hjemmebesøg.
Navnelisten, som Jehovas Vidner udarbejder ved dør-til-dør bankning i forbindelse med deres forkyndelsesarbejde, kan omfatte navne, adresser og oplysninger om den enkeltes religiøse overbevisning, som de har besøgt i løbet af deres dør-til-dør bankningsaktiviteter. Registreringen af oplysningerne i navnelisterne skete ofte uden den registreredes vidende. Menneskerettighedsdomstolen har understreget betydningen af lovlig indsamling af personoplysninger og respekt for enkeltpersoners ret til privatlivets fred.
Skal indhente samtykke
I Finland har den øverste forvaltningsdomstol (HFD) fastslået, at Jehovas Vidner skal indhente de registrerede personers samtykke for at oprette og anvende sådanne navnelister. I praksis betyder afgørelsen, at GDPR også gælder for religiøse samfund i Finland, når de behandler personoplysninger.
Hvad er det korrekte retsgrundlag for at støtte foreningens behandling af medlemmernes personoplysninger?
Som nævnt ovenfor skal alle virksomheder, organisationer og offentlige organer overholde GDPR. Det betyder bl.a., at hver enkelt behandling af personoplysninger skal have et retsgrundlag for at være lovlig. Hvis en behandling finder sted uden støtte fra et af retsgrundlagene i GDPR, er behandlingen ulovlig.
Der er i alt seks (6) retsgrundlag, og disse er fastsat i artikel 6 i GDPR. Følgende er en beskrivelse af de fire (4) retsgrundlag, der er mest almindelige for foreninger at bruge, når de behandler personoplysninger:
Kontrakter med registrerede
Det er almindeligt, at foreninger skal behandle visse personoplysninger for at indgå og opfylde aftalen mellem foreningen og medlemmet. Foreningen må ikke behandle flere personoplysninger end nødvendigt for, at personen kan blive medlem. Hvis foreningen ønsker at behandle de samme personoplysninger og/eller andre personoplysninger til et andet formål, har foreningen også brug for et retsgrundlag for den videre behandling.
Retlig forpligtelse
I nogle tilfælde kan en forening være nødt til at behandle personoplysninger, fordi nogle love eller bestemmelser kræver det fra foreningen. I nogle lande kan det f.eks. være nødvendigt for økonomiske sammenslutninger at føre en liste over medlemmer. I sådanne tilfælde finder behandlingen af personoplysninger sted for at overholde en retlig forpligtelse, der påhviler foreningen.
Samtykke
En forening kan behandle visse personoplysninger på grundlag af retsgrundlaget samtykke. Således at et medlem aktivt, informeret, utvetydigt, specifikt og frivilligt accepterer, at foreningen behandler hans eller hendes personoplysninger til et specifikt og angivet formål. Hvis retsgrundlaget er samtykke, er det ikke tilladt at medtage det i de vilkår og betingelser, der kræver, at medlemmet giver samtykke for at acceptere vilkårene og betingelserne. Der er klare regler for, hvordan et gyldigt samtykke gives.
Legitim interesse
Foreninger kan have en legitim interesse i at behandle nogle af deres medlemmers personoplysninger. F.eks. hvis det er nødvendigt at have kameraovervågning i lokaler, der tilhører en økonomisk sammenslutning, og som indeholder værdigenstande. Legitim interesse betyder, at den dataansvarlige, dvs. foreningen, mener, at deres interesse vejer tungere end de registreredes rettigheder og frihedsrettigheder. Behandling af personoplysninger ved hjælp af kameraovervågning skal dog være nødvendig for at opfylde formålet.
Er det tilladt for en forening at offentliggøre sit medlemsregister online?
Det er kun tilladt for en forening at offentliggøre sit medlemsregister online, hvis det er baseret på et retsgrundlag i henhold til GDPR. Dette kan f.eks. gøres med samtykke fra det pågældende medlem. Det er imidlertid almindeligt, at nogle medlemmer ikke ønsker, at deres telefonnumre, adresser eller andre personoplysninger bliver offentligt tilgængelige på internettet.
Frivilligt og aktivt samtykke
I de fleste tilfælde skal FMA’s medlemmer først aktivt og frivilligt give deres samtykke til, at deres personoplysninger offentliggøres online på internettet. I sådanne tilfælde skal foreningen først anmode om tilladelse til at foretage en sådan offentliggørelse. Selv om der kan være et andet retsgrundlag for, at foreningen kan offentliggøre sit medlemsregister online, anbefales det først at anmode om medlemmernes tilladelse. Hvis personoplysningerne vedrører børn, skal samtykket gives af barnets værge, selv om barnet har givet sit samtykke.
Kan en forening sende sit medlemsregister pr. e-mail til andre medlemmer eller personer?
Hvis foreningen udsender sit medlemsregister pr. e-mail, er det et spørgsmål om at dele personoplysninger, hvilket udgør behandling. En sådan behandling skal være baseret på et retsgrundlag i GDPR for at være tilladt og lovlig. Det kan f.eks. gøres med medlemmernes samtykke.
Det er imidlertid vigtigt at huske på, at der kan være nogle medlemmer, som af forskellige årsager ikke ønsker, at deres personoplysninger videregives til andre medlemmer eller personer via e-mail. Et medlem kan f.eks. have et hemmeligt telefonnummer eller en beskyttet bopælsadresse.
Er en forening forpligtet til at videregive oplysninger om et medlem til et andet medlem?
Hvis foreningen ikke er omfattet af lovgivning, der kræver, at medlemslisten er tilgængelig for dem, der ønsker at se den, behøver foreningen ikke at offentliggøre sit medlemsregister. Et medlem har dog altid ret til at modtage en kopi af sine egne personoplysninger, som foreningen behandler, men ikke om andre medlemmer eller personer. Denne ret følger af den registreredes ret til indsigt i henhold til artikel 15 i GDPR.
Læs mere om GDPR
Behandling af personoplysninger i skoler og børnehaver
Behandling af personoplysninger i skoler og børnehaver finder sted regelmæssigt. F.eks. i forbindelse med digital undervisning, deltagerlister, karakterer og personlige udviklingsplaner. Det er skolen eller børnehaven selv, der har rollen som persondataansvarlig i henhold til GDPR, ikke rektor, lærere eller andet personale. Det er dog vigtigt, at medarbejderne overholder GDPR i praksis, når de behandler elevernes personoplysninger. Personoplysninger om børn er særligt værdige til beskyttelse i henhold til GDPR.