Slik håndterer du GDPR i forening og idrettslag

beatriz-perez-moya-111685-unsplash.jpg
"Folder stack" - © by Beatriz Pérez Moya

EUs personopplysningsforskrift, også kjent GDPR, trådte ikraft 25. mai, og de fleste har allerede mottatt bunter med e-postmeldinger om nye vilkår, retningslinjer for personvern og samtykkeerklæringer. Men hva betyr alle disse nye reglene egentlig for idrettslag og foreninger? SportMember.no gir deg en oversikt over hvordan foreningen din håndterer GDPR slik at du kan spore de nyeste detaljene og oppnå samsvar.

Hva betyr GDPR for foreninger og klubber?

GDPR har strammet kravene til behandling av personlig informasjon. Det grunnleggende formålet er å beskytte de registrerte og for å sikre at personopplysninger ikke misbrukes. I tillegg stiller foreninger og idrettslag økte krav og forpliktelser etter den nye lovgivningen. Spesielt har det vært stramming i forhold til dokumentasjon. Dette innebærer at foreningene er forpliktet til å sikre at opplysninger om foreningens behandling av personopplysninger er lett tilgjengelige for medlemmer av foreningen.

Det viktigste for foreninger og idrettslag kan deles opp i fire punkter:

1. Foreningens formål med behandling av personopplysninger

All behandling av personopplysninger i foreningen er basert på et juridisk grunnlag. For eksempel kan en legitim grunn være å utfylle en kontrakt med det registrerte medlem på grunnlag av samtykke, forpliktelse i form av juridiske krav eller jakten på legitim interesse.

Det er viktig for foreningene at all behandling av personopplysninger er basert på et juridisk grunnlag. I de fleste tilfeller vil foreninger kunne behandle felles informasjon for å forfølge en legitim interesse så lenge de tjener de respektive formål. For eksempel vil registrering av navn og kontaktinformasjon være basert på en legitim interesse, da foreninger selvsagt vil ha en medlemsdatabase. På den annen side må foreningen være oppmerksom på at ingen ikke-tjenerdata er registrert for et bestemt formål som sivilstatus eller ansettelse.

2. Liste over behandlingsaktiviteter (dokumentasjonskrav)

Foreningene er pålagt å holde oversikt over behandlingsaktiviteter. Dette betyr at foreningen må kunne vise en oversikt over behandlingen som inkluderer hvilken informasjon som behandles, hvordan informasjonen behandles, mottakere av informasjon, etc.

3. Personvernregler (opplysningsplikt)

I kraft av GDPR er foreningen gjenstand for offentliggjøring ved behandling av personopplysninger. Foreningene kan utvikle personvernsregler hvor medlemmer av foreningen informeres om alle aspekter av behandlingen. Personvernreglene må inneholde informasjon om hvilke, hvordan og hvorfor personopplysninger behandles og foreningens databeskyttelseskontakt.

4. Datasikkerhet

Foreningen må kunne garantere et tilstrekkelig sikkerhetsnivå med hensyn til behandling av personopplysninger. I tillegg, i tilfelle brudd, har foreningen plikt til å rapportere brudd til Datatilsynet.

 

Foreningen som data-ansvarlig

Det er viktig for foreningene å forstå begrepene data-ansvarlig og databehandler, da kravene er forskjellige. Idrettslag og foreninger registrerer og lagrer informasjon om sine medlemmer og er derfor data-ansvarlig for medlemmene. Selv om foreningen bruker SportMember.no som ekstern tjeneste for å behandle dataene, forblir ansvaret hos foreningen. Men hva betyr det egentlig å være data-ansvarlig?

Som data-ansvarlig er foreningen blant annet ansvarlig for at foreningen er i stand til å overholde informasjonsplikten og eventuelt varsle personlige data brudd i Datatilsynet. Når foreningen er data-ansvarlig utføres behandlingen på instrukser fra den data-ansvarlige til databehandleren. Samtidig betyr det at foreningen må inngå en såkalt databehandlingsavtale med leverandører ved bruk av forskjellige systemer for håndtering av personopplysninger.

SportMember som databehandler

GDPR ble introdusert av EU for brukernes skyld. På SportMember.no forstår vi at denne nye lovgivningen kan være en stor munnfull for idrettslag og foreninger, og derfor har SportMember.no forsøkt å gjøre hele prosessen rundt GDPR så enkel som mulig. Blant annet har vi oppdatert våre vilkår og retningslinjer for personvern, som alle brukere må godta. Disse er oppdatert slik at brukernes rettigheter i alle tilfeller er tatt i betraktning, slik at SportMember.no kan fortsette å gjøre det daglige livet til foreningen så enkel som mulig. Vi sørger for behandlingssikkerhet slik at både klubb og brukere trygt kan bruke SportMember.no til å behandle dataene sine.

GDPR-lenker

Når din forening skal kontrollere dokumentasjonen, er det viktig å kartlegge alle behandlinger som foreningen forplikter seg til. Å utarbeide foreningens personvernsregler og en liste over behandlingsaktiviteter kan være et stort arbeid. Datatilsynet har utarbeidet en rekke håndbøker og maler som er nyttige for utarbeidelsen av dokumentasjonen. Du finner iNorges Idrettsforbunds informasjoner om GDPR her.

Datatilsynets informasjoner finner du her.

FAQ

Skal vi som forening utarbeide en databehandlingsavtale for SportMember.no?

Nei. På SportMember.no har vi gjort det enkelt for din forening! En databehandlingsavtale er allerede på plass når foreningen din oppretter en klubb. Derfor trenger din klubb eller forening ikke å bekymre seg for å utarbeide en egen databehandlingsavtale. SportMember.no arbeider på en modellavtale, utarbeidet av vår advokat, og derfor mottar vi ikke databehandleravtaler fra hver klubb. Vi har dessverre ikke har kapasitet til å håndtere forskjellige databehandlingsavtaler fra alle klubber.

Kan en bruker slette seg selv? Og hva med rapportering av medlemskap?

SportMember.no har sørget for at brukerne kan slette seg selv. Til gjengjeld, er det en del av våre betingelser at klubbene alltid vil ha rett til å beholde nok data til å rapportere medlemskap til NIF eller andre aktivitetspuljer, slik at foreningen ikke trenger å bekymre deg for å miste støtte herfra.

For eksempel deaktiverer SportMember.no også muligheten for brukersletting hvis brukeren ikke har betalt kontingent eller skal delta i en betalingsaktivitet.

Kan klubbadministrator slette brukere fra SportMember.no?

Som regel nei. Brukerne eier sin bruker, men klubb eller forening har muligheten til å slette medlemskapet til klubben. Dette betyr at dere som klubb ikke lenger er data-ansvarlig for denne brukeren. Brukeren vil fortsatt være aktiv på SportMember.no, og kan være tilknyttet et nytt lag. SportMember.no blir da data-ansvarlig for den respektive brukeren.

 

GDPR SJEKKLISTE
  • Kartlegg alle behandlinger i foreningen
  •  Dokumenter alle behandlinger i en liste
  • Lag et synlig personvernsreglement og informer alle foreningens medlemmer
  • Inngå databehandleraftaler hvis foreningen bruker andre til å håndtere data
  • Utpek en data-kontaktperson i foreningen


Hva med våre medlemmers rettigheter og vår plikt til å gi informasjon?

SportMember.no har sørget for at brukervilkår og personvern har blitt oppdatert slik at behandling av personopplysninger på vegne av foreningen din er gjennomsiktig og forståelig. Vi informerer om formålet, brukerrettighetene og spesielt vilkårene for sletting, slik at din tilknytning ikke plutselig mangler data når du rapporterer medlemskap.

SportMember.no tilbyr også et gratis nettsted der foreningen din kan gjøre personvernreglene lett tilgjengelig for alle medlemmer. I tillegg har du også mulighet til å informere alle dine medlemmer gjennom vår kommunikasjon på foreningens SportMember-plattform.

SportMember prøver å gjøre hverdagen enklere for klubber og brukere, og vi vil kontinuerlig tilpasse plattformen til for å gjøre arbeid så optimalt som mulig - selv i forhold til den nye lovgivningen. Har du ytterligere spørsmål, kan du kontakte oss.

 

Klar til å komme i gang?

Klubben din på din måte! Administrer klubben din med SportMember og lette arbeidsbelastningen. Vi vil gjerne hjelpe deg i gang. Opprett en konto med en gang.
Hva koster det?
Hvilke behov har klubben din? Basis- eller PRO-abonnement?
Prisdetaljer
Funksjoner
Ingen klubber er like. Våre funksjoner dekker dine behov.
Funksjoner