Frivillige foreninger skal overholde databeskyttelseslovgivningens krav

Passion for blandt andet lokalmiljøet fører ofte til frivilliges aktive og inspirerende involvering i foreningslivet. Frivillige foreninger og organisationer er dog omfattet af de komplicerede regler i databeskyttelsesforordningen, og spørgsmålet er om de frivillige egentlig er klar over de pligter, som lovgivningen forventer, at de iagttager på vegne af foreningen?

Formentlig ikke. Justitsministeriet har i dets vejledning, der omhandler frivilliges foreningers behandling af personoplysninger med rette anført, at man ikke kommer ”uden om at skulle bruge tid og ressourcer på at sætte sig ind i reglerne”.

De frivillige foreningskræfter vil dermed skulle bruges på foreningens efterlevelse af databeskyttelsesforordningens krav, uanset foreningens størrelse. Den frivillige kassér tjans eller førelsen af foreningens hjemmeside vil dermed tillige indeholde adskillige komplicerede GDPR pligter og arbejde med databeskyttelse, medmindre foreningen har udvalgt en person til varetagelse heraf.

Vejledningen besvarer dog en række centrale spørgsmål, der er til gavn for frivilliges indledende sammenstød med databeskyttelsesverdenen. Det vil dog være nødvendigt for den enkelte frivillige at søge tilflugt i en af Datatilsynets mange vejledninger om databeskyttelse, som Justitsministeriets vejledning da også henviser til.

Det frivillige foreningsarbejde vil dermed – lig erhvervssektoren – opleve at simpelt sagsbehandling, f.eks. foreningens oprettelse af nye medlemmer, besværliggøres væsentligt, da foreningen tillige skal undersøge om de har lov til at behandle det enkelte medlems personoplysninger (behandlingsgrundlag), ligesom foreningen skal iagttage dets oplysningspligt over for medlemmet.

Yderligere eksemplificeret vil være foreningens anvendelse af hold- eller portrætbilleder af dets medlemmer til ophæng i foreningens lokaler eller offentliggørelse på foreningens egen hjemme- eller Facebookside være en byrdefuld opgave. I et sådant tilfælde, skal foreningen nemlig sikre den enkeltes utvetydige samtykke til denne behandling, da foreningen uden gyldigt samtykke vil foretage en ulovlig databehandling.

Det faktum, at det frivillige foreningsliv er omfattet af databeskyttelseslovgivningen, vil således lægge beslag på store dele af foreningskræfterne, hvor den konkrete efterlevelse desværre kan virke frustrerende uoverskueligt og byrdefuldt for den enkelte frivillig. Af den grund bør foreningens kraftigt overveje, at finde en lokal ildsjæl eller en ekstern samarbejdspartner, som kan sikre foreningens efterlevelse af GDPR kravene.

Særligt, da foreningen endvidere skal være opmærksom på, om kravene til behandlingssikkerheden er overholdt, herunder særligt om foreningen kommunikerer sikkert ved dets transmission af følsomme og fortrolige personoplysninger pr. e-mail, om foreningens fysiske arkiver er tilstrækkeligt sikret samt om den enkelte frivilliges benyttelse af sin private computer til foreningsarbejdet er passende og tilstrækkeligt sikret. Foreningen skal tillige kontinuerligt føre en fortegnelse over dets behandlingsaktiviteter, ligesom det skal indgå databehandleraftaler med dets databehandlere.

LOU Advokatfirmas databeskyttelsesafdeling står dog klar med gode råd og svar på spørgsmål om, hvordan din forening skal forholde sig til dets behandling af personoplysninger, ligesom der tilbydes en række pakkeløsninger, som indeholder relevante skabeloner til brug for foreningens efterlevelse af reglerne i databeskyttelsesforordningen.

4. februar 2019