Når EU-loven løber løbeklubben over ende

I Horsens Orienteringsklub forsøger de at blive klar til EUs nye datalov, GDPR. Det er en stor mundfuld for en lille forening.

Når EU-loven løber løbeklubben over ende

I Horsens Orienteringsklub forsøger de at blive klar til EUs nye datalov, GDPR. Det er en stor mundfuld for en lille forening.

  • Af Esben Hardenberg
  • 25. maj 2018
Scroll for at læse

- Der, hvor jeg har ryddet mest op, er i gamle ansættelseskontrakter og børneattester. Jeg var inde og undersøge, hvor længe vi skal gemme tingene i forhold til loven, og så har jeg ryddet kraftigt op, for der skal virkelig være en god grund til, at man har tingene liggende.

Jette Steffensen trådte for nylig til som kasserer i Horsens Orienteringsklub, hvor alle typer af mennesker mødes for at suse gennem skoven.

En af de første ting, hun har gjort i sin nye stilling, er at skille sig af med foreningens papirer for at opfylde EUs nye regler om personlige oplysninger på nettet ved navn GDPR - også kaldet databeskyttelsesforordningen.

Skal have styr på data

GDPR stiller nye krav til, at Jette Steffensen skal give medlemmer, trænere, instruktører og frivillige klar besked om, hvordan deres personlige oplysninger såsom CPR-nummer, helbredsoplysninger og børneattester (information fra kriminalregistret, red.) behandles.

For at kunne give medlemmerne de rigtige oplysninger, må hun først have helt styr på, hvilke personlige data foreningen ligger inde med.

Ellers risikerer foreningen at bryde loven.

Reglerne gælder for alle Danmarks cirka 12.000 idrætsforeninger. Og for alle andre foreninger for den sags skyld. I hele EU. Fra den 25. maj 2018.

Jette Steffensen valgt at indfri kravet ved at skille sig af med alle kontrakter, der ikke længere gælder og alle de børneattester, der er blevet godkendt.

Jette Steffensen sidder ved et træbord uden for orienteringsklubbens klubhus.

Overfor sidder advokat og juridisk chef i DGI, Steen F. Andersen. Han hjælper de danske foreninger med at at få overholdt reglerne og har været med til at udvikle materiale for DGI, som foreningerne kan bruge til at blive klar til de nye lovkrav.

Man skal have et sagligt formål

I dag skal Steen F. Andersen hjælpe Jette Steffensen med at gennemgå Horsens Orienteringsklubs arbejde for at blive klar til GDPR.

Steen vurderer, at det ikke havde været strengt nødvendigt at skille sig af med fx børneattesterne på dem, der stadig er aktive i foreningen.

Ifølge loven skal man altid have et sagligt formål med at behandle personoplysninge og begrænse behandlingen til det, der er nødvendigt i forhold til det saglige formål.

Det betyder, at Jette kun skal opbevare de data, hun bruger, og slette dem igen, når de ikke længere bruges. Men fortolkningen er i første omgang op til foreningen selv.

Som Steen F. Andersen ser det, vil det ikke være urimeligt at opbevare dem i et år efter endt samarbejde.

Overskrider foreningerne grænsen, vil Datatilsynet, der fører opsyn med GDPR, tage affære. Men det skal ikke opfattes som om, at de er på krigsstien.

- Det vil nok være ligesom, hvis Arbejdstilsynet kom forbi og sagde: "Det der kunne godt være lidt bedre. Nu får I en frist på to måneder til at vise, at I tager det på jer, og så kommer vi igen", siger Steen F. Andersen.

- Hvis tilsynet så efter to måneder konstaterer, at det stadig ikke er godt nok, så tror jeg, at man vil lave et påbud og sige, at nu SKAL det være i orden.

Vi er her ikke for at dunke folk i hovedet

Medlemmernes personlige information er ikke det eneste, de danske foreninger skal have styr på. Den politik, foreningen fører i forhold til medlemmernes data, skal også nøje overvejes og beskrives. Og alle medlemmer skal orienteres om den.

Skabeloner som DGI og Danmarks Idrætsforbund har udviklet, skal hjælpe foreningerne på vej.

- Vi har ikke til opgave at dunke folk i hovedet. Vi skal hjælpe dem. Så vi har lavet nogle skabeloner til privatlivspolitik. og til at foreningerne kan nedfælde, hvordan de behandler medlemsdata, fortæller Steen F. Andersen.

Jette Steffensen og to andre medlemmer af klubben er begyndt på arbejdet, men når ikke at blive færdige, inden GDPR indtræder.

- Det skulle gerne blive færdigt her i den næste måneds tid, men vi kan simpelthen ikke nå at blive færdige til d.25, siger Jette Steffensen.

Det, tror Steen F. Andersen, er tilfældet mange steder.

- Jeg tror på, at I ligner mange foreninger, Nogle er nok slet ikke startet endnu - det vil jeg ikke udelukke. Nogen er også i mål, men jeg tror, der er rigtig mange på jeres niveau. Det vil Datatilsynet også have forståelse for.

GDPR træder i kraft i dag den 25. maj. Den får betydning for alle borgere i EU og skal følges af alle 12.000 danske idrætsforeninger - og en lang række andre foreninger, klubber og virksomheder, der indsamler personoplysninger. Straffen for overtrædelse af GDPR er bøder på op til 150 millioner kroner eller 4 procent af en organisations globale omsætning.


Det bliver dog næppe relevant for Horsens Orienteringsklub.