Foreningers behandling af personoplysninger

Bestyrelser for frivillige foreninger, ejerforeninger, grundejerforeninger, andelsboligforeninger og andre sammenslutninger spørger ofte om, hvordan de skal behandle personoplysninger, og om de overholder reglerne om databeskyttelse eller GDPR.

Skrevet af advokat Jens Hessel, Ret&Råd København

Almindelige oplysninger

Normalt modtager bestyrelser fra foreninger kun almindelige oplysninger, som navn, adresse, telefon, e-mail og bankolysninger. Disse oplysninger er ikke følsomme personoplysninger.

Almindelige personoplysninger omfatter alle oplysninger, der ikke er klassificeret som følsomme personoplysninger. Almindelige oplysninger kan være identifikationsoplysninger som navn, adresse, telefon, e-mail, fødselsdato, bil og stilling.

Foreninger kan altid behandle almindelige personoplysninger, hvis den registrerede har givet samtykke.

Foreninger kan der ud over behandle almindelige personoplysninger uden samtykke, hvis det er nødvendigt af hensyn til forholdet mellem foreningen og medlemmet eller en legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder.

Forholdet mellem foreninger og medlemmer falder normalt ind under denne kategori. Der er derfor normalt ikke krav om samtykke fra foreningsmedlemmer til, at foreninger indsamler og anvender almindelige oplysninger som navn, adresse, telefon, e-mail, fødselsdag og bankoplysninger på mellemmer til brug for foreningen.

Når lovligheden af foreningers indsamling og behandling af almindelige personoplysninger er fastslået, gælder dog de begrænsninger:

  • at ved indsamlingen af personoplysninger skal det være klart, hvilke saglige formål oplysningerne skal anvendes til.
  • at behandlingen ikke må være uforenelig med formålet med oplysningerne.
  • at behandlingen og opbevaringen af oplysningerne skal begrænses til det, der er nødvendigt for at opfylde formålet, at oplysningerne skal ajourføres.
  • at urigtige oplysninger skal slettes eller berigtiges
  • at når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes
  • at oplysningerne ikke må komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.

Følsomme personoplysninger

Foreninger må ikke behandle følsomme personoplysninger. Det tillades kun i ganske begrænsede tilfælde. Følsomme personoplysninger er udtrykkelig afgrænset i databeskyttelsesforordningens artikel 9, det er oplysninger om race og etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger og seksuelle forhold eller seksuel orientering. Kun disse oplysninger er følsomme personoplysninger.  

Oplysninger om strafbare forhold

Foreninger må ikke behandle og videregive oplysninger om strafbare forhold og andre sanktioner f.eks. rettighedsfrakendelse uden den registreredes samtykke. Samtykket skal være i overensstemmelse med vilkårene i databeskyttelsesforordningens artikel 7.

Der gælder kun få undtagelser, hertil f.eks. kan videregivelse ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Oplysninger om personnummer

Foreninger må ikke behandle oplysninger om personnumre, de må hverken modtage, opbevare eller videregive personnumre. De må kun ganske undtagelsesvis modtage, opbevare og videregive personnumre, når det følger af lovgivningen, eller når den registrerede har givet samtykke. Samtykket skal være i overensstemmelse med vilkårene i databeskyttelsesforordningens artikel 7.

Reglerne om persondata

Reglerne om behandling af persondata, persondataforordningen og GDPR fremgår af datatilsynets hjemmeside

Hvis du har spørgmål til artiklen eller behov for rådgivning, så kontakt advokat Jens Hessel, Ret&Råd København, på tlf. +45 33117729 eller mail jhe@ret-raad.dk, eller find din lokale Ret&Råd-advokat.

}