Membership Register Privacy Policy Denmark
Danmark — GDPR og databeskyttelsesloven (LOV nr. 502/2018)
PERSONDATAPOLITIK
for [Foreningens navn] — Behandling af medlemsoplysninger
1. Dataansvarlig
Den dataansvarlige for behandlingen af dine personoplysninger er:
[Foreningens navn], [Foreningens adresse]
Kontakt vedrørende persondata: [Kontaktmail]
Foreningen er dataansvarlig, jf. databeskyttelsesforordningen (GDPR) art. 4, nr. 7, og behandler dine personoplysninger i overensstemmelse med GDPR og databeskyttelsesloven (LOV nr. 502 af 23. maj 2018).
2. Formål og retsgrundlag
Foreningen behandler dine personoplysninger til følgende formål: administration af dit medlemskab, opkrævning og registrering af kontingent, kommunikation om foreningens aktiviteter og begivenheder, indberetning til relevante forbund og myndighedsregistrering.
Retsgrundlaget for behandlingen er opfyldelse af dit medlemskab som aftalepart, jf. GDPR art. 6, stk. 1, litra b, samt foreningens berettigede interesse i at administrere sine aktiviteter, jf. GDPR art. 6, stk. 1, litra f.
Behandling af evt. følsomme oplysninger som helbredsoplysninger sker på grundlag af dit samtykke, jf. GDPR art. 9, stk. 2, litra a, og databeskyttelsesloven § 7. Samtykke kan tilbagekaldes til enhver tid.
3. Typer af oplysninger
Foreningen behandler følgende typer personoplysninger: [Oplysningstyper].
Foreningen indsamler kun oplysninger, der er nødvendige for de angivne formål, og behandler dem ikke til andre formål uden ny hjemmel eller nyt samtykke.
4. Opbevaring og sletning
Dine personoplysninger opbevares, så længe du er aktivt medlem. Efter udmeldelse opbevares oplysningerne i [Opbevaringstid], hvorefter de slettes.
Regnskabsbilag med oplysninger om kontingentbetalinger opbevares i 5 år efter regnskabsårets udløb, jf. bogføringsloven (LBK nr. 1330 af 03/11/2023) § 10 om regnskabsmateriale.
5. Videregivelse og databehandlere
Foreningen videregiver ikke dine personoplysninger til tredjemand uden dit samtykke, medmindre dette er krævet af lovgivning.
Brug af IT-systemer: [Databehandleranvendelse]. Er der tale om databehandlere, er der indgået en databehandleraftale, jf. GDPR art. 28, der sikrer, at databehandleren behandler oplysningerne fortroligt og sikkert.
Foreningen overfører ikke personoplysninger til lande uden for EU/EØS, medmindre de pågældende lande er erklæret sikre af Europa-Kommissionen, eller der er indgået EU's standardkontraktklausuler.
6. Dine rettigheder
Du har efter GDPR følgende rettigheder over for Foreningen som dataansvarlig:
Ret til indsigt (GDPR art. 15): Du kan til enhver tid anmode om en kopi af de oplysninger, Foreningen behandler om dig. Foreningen svarer inden 1 måned.
Ret til berigtigelse (art. 16): Du kan kræve, at ukorrekte oplysninger om dig rettes.
Ret til sletning (art. 17): Du kan i visse situationer kræve, at Foreningen sletter dine oplysninger. Sletning kan være begrænset af bogføringslovens krav.
Ret til indsigelse (art. 21): Du kan gøre indsigelse mod behandling baseret på foreningens berettigede interesse.
Klage til Datatilsynet: Du kan klage over Foreningens behandling af dine personoplysninger til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, e-mail: [email protected], tlf. 33 19 32 00.
7. Sikkerhed
Foreningen træffer passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger mod uautoriseret adgang, tab, ændring eller videregivelse, jf. GDPR art. 32.
Brud på persondatasikkerheden anmeldes til Datatilsynet inden for 72 timer efter konstatering, jf. GDPR art. 33.
8. Opdatering af politikken
Denne persondatapolitik opdateres, når Foreningens behandlingspraksis eller lovgivningen ændres. Den seneste version offentliggøres på Foreningens hjemmeside og meddeles medlemmerne.
For Foreningen (formand)
________________
Signature
Date: ________________
What Is a Membership Register Privacy Policy Denmark?
Persondatapolitikken til en dansk forenings medlemsregister er et GDPR-komplient dokument, der informerer foreningens medlemmer i Danmark om, hvilke personoplysninger foreningen behandler, til hvilke formål, på hvilken hjemmel, og hvilke rettigheder medlemmerne har. Persondatapolitikken til foreningers medlemsregister er reguleret af databeskyttelsesforordningen (GDPR, EU 2016/679) og databeskyttelsesloven (LOV nr. 502 af 23. maj 2018). Dokumentet er ikke blot en formalitet, men en garanti for, at foreningen opfylder sine pligter som dataansvarlig og respekterer medlemmernes privatlivs-rettigheder. Datatilsynet fører tilsyn med foreningernes overholdelse af disse regler og kan udstede påbud og bøder ved overtrædelse.
En dansk forening er dataansvarlig for de personoplysninger, den behandler om sine medlemmer. Som dataansvarlig har foreningen pligt til at informere de registrerede (medlemmerne) om behandlingen ved indsamlingen af oplysningerne, jf. GDPR art. 13. Informationspligten opfyldes typisk via en skriftlig persondatapolitik, der udleveres til nye medlemmer ved indmeldelse og offentliggøres på foreningens hjemmeside.
Foreningens behandling af personoplysninger om medlemmer hviler typisk på to retsgrundlag: opfyldelse af medlemskabsaftalen (GDPR art. 6, stk. 1, litra b) og foreningens berettigede interesse i at administrere sine aktiviteter og kommunikere med sine medlemmer (GDPR art. 6, stk. 1, litra f). Behandling af særlige kategorier af personoplysninger, for eksempel helbredsoplysninger om handicap eller allergi, kræver samtykke fra den registrerede, jf. GDPR art. 9 og databeskyttelsesloven § 7. For mindreårige under 15 år kræves forældrenes samtykke, jf. databeskyttelsesloven § 6.
Databeskyttelsesloven (LOV nr. 502 af 23/05/2018) er det danske supplement til GDPR og indeholder nationale særregler, herunder om alder for samtykke (15 år, § 6), behandling af CPR-nummer (§ 11), og Datatilsynets beføjelser. Datatilsynet er den danske tilsynsmyndighed med placering på Carl Jacobsens Vej 35, 2500 Valby, og vejleder om foreningers behandling af personoplysninger på datatilsynet.dk. Brud på persondatasikkerheden skal anmeldes til Datatilsynet inden for 72 timer, jf. GDPR art. 33.
Foreningernes data opbevares i mange former: digitale medlemsregistre som Conventus, LASSO X, MemberCreator og ForeningsNet, e-maillister, regneark og papirdokumenter. Alle disse behandlingsformer er underlagt GDPR. Brug af cloud-baserede foreningssystemer kræver, at der indgås en databehandleraftale med leverandøren, jf. GDPR art. 28, der sikrer, at leverandøren behandler oplysningerne fortroligt og sikkert og alene efter foreningens instruks.
Forms-legal.com leverer en persondatapolitik-skabelon til foreningers behandling af medlemsregistret, der er koordineret med foreningsvedtægternes bestemmelser og opfylder Datatilsynets vejledningskrav. Skabelonen kan tilpasses foreningens konkrete behandlingspraksis og bruges ved indmeldelse, opdatering af vedtægter og kommunikation med Datatilsynet.
When Do You Need a Membership Register Privacy Policy Denmark?
Persondatapolitikken til foreningens medlemsregister er nødvendig og obligatorisk i følgende situationer, hvor manglende overholdelse kan føre til Datatilsynets indgreb og bøder.
Indmeldelse af nye medlemmer. Enhver forening, der behandler personoplysninger om sine medlemmer, er forpligtet til at informere de nye medlemmer om behandlingen ved indmeldelsen, jf. GDPR art. 13. Persondatapolitikken udleveres til det nye medlem som del af indmeldelsesproceduren, for eksempel som bilag til indmeldelsesskemaet eller som link i velkomstemajlen.
Opdatering af foreningsvedtægternes persondataklausul. Foreninger, der tilpasser vedtægterne til GDPR, bør koordinere vedtægtens persondataklausul med en selvstændig persondatapolitik, der er mere detaljeret og operationel. Datatilsynet anbefaler, at persondatapolitikken er et selvstændigt dokument, der nemt kan opdateres uafhængigt af vedtægternes vedtagelsesprocedure.
Nyt IT-system til membres eller e-mailudsendelse. Når foreningen tager et nyt IT-system i brug til administration af medlemsregistret, skal der indgås en databehandleraftale med leverandøren, og persondatapolitikken bør opdateres til at nævne det nye system. Datatilsynet kontrollerer, at databehandleraftaler er på plads ved foreningers brug af cloud-baserede systemer.
Datatilsynets tilsyn eller klage. Hvis Datatilsynet modtager en klage fra et foreningsmedlem om manglende information om behandlingen, er en dokumenteret persondatapolitik den primære dokumentation for, at informationspligten er opfyldt. En klar, veldokumenteret persondatapolitik reducerer risikoen for tilsynsindgreb og bøder.
Behandling af følsomme oplysninger om børn. Foreninger med aktiviteter for børn under 15 år behandler oplysninger om mindreårige, der kræver forældrenes samtykke, jf. databeskyttelsesloven § 6. Persondatapolitikken bør specificere dette og beskrive, hvordan samtykket indhentes og dokumenteres.
Behandling af helbredsoplysninger. Sportsforeninger og organisationer, der behandler helbredsoplysninger om allergi, handicap eller medicinering, behandler særlige kategorier af personoplysninger, jf. GDPR art. 9. Disse kræver samtykke som hjemmel og bør beskrives specifikt i persondatapolitikken.
What to Include in Your Membership Register Privacy Policy Denmark
En GDPR-komplient persondatapolitik til en dansk forenings medlemsregister skal indeholde følgende elementer, der opfylder informationspligten i GDPR art. 13 og sikrer, at Datatilsynet ikke finder anledning til at sanktionere foreningen.
Dataansvarligs identitet og kontaktoplysninger. Foreningens navn, adresse og en kontakte-mailadresse til persondataforespørgsler. Den registrerede skal kunne kontakte den dataansvarlige for at udøve sine rettigheder.
Formål og retsgrundlag. En præcis beskrivelse af, til hvilke formål personoplysningerne behandles, og det juridiske retsgrundlag for hvert formål. Typisk: opfyldelse af medlemskabsaftalen (GDPR art. 6, stk. 1, litra b) for den løbende administration og berettiget interesse (litra f) for kommunikation om aktiviteter. For følsomme oplysninger: samtykke (art. 9, stk. 2, litra a).
Typer af oplysninger. En klar beskrivelse af, hvilke typer personoplysninger foreningen behandler. For et standard-foreningsregister: navn, adresse, e-mail, telefon, fødselsdato og kontingentbetalinger. Foreningen bør begrænse behandlingen til det nødvendige (dataminimering, GDPR art. 5, stk. 1, litra c).
Opbevaringstid og sletning. Angivelse af, hvor længe oplysningerne opbevares, og hvornår de slettes. Regnskabsbilag opbevares i 5 år jf. bogføringsloven (LBK nr. 1330 af 03/11/2023). Andre oplysninger slettes typisk inden 1-2 år efter udmeldelse. Opbevaringstiden skal stå i rimeligt forhold til formålet.
Modtagere og databehandlere. Angivelse af, om oplysningerne deles med tredjemand eller behandles af en databehandler som et cloud-baseret foreningssystem. Brug af Conventus, LASSO X, MemberCreator eller GDPR-kompatible e-mailsystemer kræver databehandleraftaler, jf. GDPR art. 28. Forms-legal.com tilbyder en databehandleraftaleskabelon til foreninger.
Medlemmernes rettigheder. En klar beskrivelse af de rettigheder, GDPR art. 15-21 giver den registrerede: indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse. Angivelse af fristen for svar (1 måned, jf. GDPR art. 12).
Klagemulighed. Oplysning om, at den registrerede kan klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, [email protected], tlf. 33 19 32 00.
Sikkerhed og databrud. En erklæring om, at foreningen træffer passende sikkerhedsforanstaltninger, jf. GDPR art. 32, og at databrud anmeldes til Datatilsynet inden for 72 timer, jf. GDPR art. 33.
How to Fill Out Your Membership Register Privacy Policy Denmark
Persondatapolitikken til foreningens medlemsregister udfyldes trin for trin, så den opfylder informationspligten i GDPR art. 13 og Datatilsynets vejledningskrav til foreningers behandling af personoplysninger. Dokumentet bør gennemgås og opdateres mindst én gang om året og ved enhver ændring i foreningens behandlingspraksis eller IT-systemer.
Trin 1 — Angiv den dataansvarlige. Skriv foreningens officielle navn og adresse og en kontaktmail til persondataforespørgsler. Sørg for, at kontaktmailen er aktivt overvåget, og at svar sendes inden for én måned, som krævet af GDPR art. 12.
Trin 2 — Beskriv formål og retsgrundlag. Angiv de konkrete formål for behandlingen og det juridiske grundlag. Brug aftalens opfyldelse som hjemmel for den løbende kontingentadministration og berettiget interesse for kommunikation om aktiviteter. Kræver behandlingen samtykke, for eksempel ved helbredsoplysninger, beskriv samtykkeindsamlingsproceduren.
Trin 3 — Angiv typer af oplysninger. List de konkrete typer oplysninger, foreningen behandler. Vær specifik og undgå overdreven bredde. Behandler foreningen helbredsoplysninger om allergi eller handicap, angives dette eksplicit med hjemmel.
Trin 4 — Fastlæg opbevaringstid. Angiv, hvornår oplysningerne slettes. For kontingentoplysninger: 5 år efter regnskabsårets udløb jf. bogføringsloven. For andre oplysninger: fastlæg en rimelig periode, for eksempel 1 år efter udmeldelse.
Trin 5 — Angiv modtagere og databehandlere. Undersøg, hvilke IT-systemer og cloud-tjenester foreningen bruger til at opbevare og behandle medlemsoplysninger. Angiv disse som databehandlere og sørg for at indgå databehandleraftaler med dem inden offentliggørelse.
Trin 6 — Beskriv medlemmernes rettigheder. Inkluder alle GDPR-rettigheder, herunder indsigt, berigtigelse, sletning, begrænsning og indsigelse. Angiv, at svar gives inden for 1 måned.
Trin 7 — Indsæt Datatilsynets kontaktoplysninger. Angiv, at den registrerede kan klage til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, [email protected]. Datatilsynets kontaktoplysninger er obligatoriske i informationspligten.
Trin 8 — Offentliggør og udlever. Offentliggør politikken på foreningens hjemmeside og send den til eksisterende medlemmer ved opdatering. Vedhæft politikken til indmeldelsesskema for nye medlemmer. Arkiver den daterede version, da Datatilsynet kan kræve dokumentation for, at informationspligten er opfyldt.
Legal Requirements for Membership Register Privacy Policy Denmark
Persondatapolitikken til en dansk forenings medlemsregister er underlagt GDPR og databeskyttelsesloven med konkrete krav til behandling og information, der skal overholdes for at undgå Datatilsynets sanktioner.
GDPR art. 13 — Informationspligten. Når foreningen indsamler personoplysninger direkte fra den registrerede (for eksempel ved indmeldelse), skal den informere den registrerede om identiteten af den dataansvarlige, formål og retsgrundlag, opbevaringstid, modtagere, den registreredes rettigheder og klageadgang til Datatilsynet. Informationspligten skal opfyldes ved indsamlingen, og manglende opfyldelse kan medføre bøder fra Datatilsynet, der aktivt kontrollerer, om foreninger overholder informationspligten.
GDPR art. 5 — Behandlingsprincipper. Foreningen skal sikre, at behandlingen er lovlig, rimelig og gennemsigtig; at oplysningerne indsamles til specificerede, udtrykkeligt angivne og legitime formål; at der alene behandles de oplysninger, der er nødvendige (dataminimering); at oplysningerne er korrekte og opdaterede; og at de ikke opbevares længere end nødvendigt (opbevaringsbegrænsning). Disse principper er fundamentet for al GDPR-compliance.
Databeskyttelsesloven § 6 — Mindreåriges samtykke. For behandling af personoplysninger om mindreårige under 15 år kræves forældrenes samtykke. Foreningen bør have en procedure for at indhente og dokumentere forældrenes samtykke ved indmeldelse af mindreårige. Samtykket bør indhentes skriftligt og opbevares, mens barnet er medlem.
Databeskyttelsesloven § 7 og GDPR art. 9 — Følsomme oplysninger. Behandling af helbredsoplysninger, religiøs overbevisning og andre følsomme kategorier kræver samtykke som hjemmel. Samtykket skal være frivilligt, specifikt, informeret og utvetydigt, og den registrerede skal kunne tilbagekalde det til enhver tid. Foreningen skal dokumentere, at samtykket er indhentet korrekt.
GDPR art. 28 — Databehandleraftaler. Foreninger, der anvender cloud-baserede IT-systemer til behandling af personoplysninger, skal indgå databehandleraftaler med leverandørerne. Datatilsynet har vejledning om kravene til databehandleraftaler og har standardvilkår, der kan benyttes. Manglende databehandleraftale er en selvstændig GDPR-overtrædelse.
Bogføringsloven. Regnskabsbilag med oplysninger om kontingentbetalinger skal opbevares i 5 år efter regnskabsårets udløb, jf. bogføringsloven (LBK nr. 1330 af 03/11/2023) § 10. Opbevaringstiden for kontingentoplysninger er dermed lovbestemt og kan ikke forkortes. Datatilsynet accepterer denne opbevaringstid som saglig begrundelse for den længere opbevaring.
GDPR art. 33 — Anmeldelse af sikkerhedsbrud. Foreningen skal anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer, jf. GDPR art. 33, og informere de registrerede, hvis bruddet udgør en høj risiko for dem. Datatilsynet har en online-anmeldelsesformular til brug ved sikkerhedsbrud på datatilsynet.dk. Foreningen bør have en intern procedure for håndtering af sikkerhedsbrud, herunder en kontaktperson og en protokol for, hvornår og hvordan anmeldelse foretages.
GDPR art. 30 — Fortegnelse over behandlingsaktiviteter. Foreninger, der behandler følsomme oplysninger, eller som er af en vis størrelse, bør udarbejde en intern fortegnelse over behandlingsaktiviteter, jf. GDPR art. 30. Fortegnelsen dokumenterer, hvilke behandlinger foreningen foretager, hvad formålet er, og hvem der er databehandlere. Datatilsynet kan kræve at se fortegnelsen ved et tilsynsbesøg.
Common Mistakes to Avoid in Your Membership Register Privacy Policy Denmark
Persondatapolitikker til danske foreningers medlemsregistre lider under disse fejl, der kan medføre Datatilsynets indgreb, bøder og tab af medlemmernes tillid. En god persondatapolitik er en investering i foreningens omdømme og GDPR-compliance.
Fejl 1 — Ingen persondatapolitik. Den hyppigste fejl er fraværet af en persondatapolitik overhovedet. GDPR art. 13 kræver, at foreningen informerer medlemmerne om behandlingen ved indmeldelsen. Manglende information er en overtrædelse, og Datatilsynet kan kræve, at foreningen indfører en politik og informerer eksisterende medlemmer.
Fejl 2 — Vagt retsgrundlag. Mange foreningers persondatapolitikker angiver blot, at behandlingen sker i overensstemmelse med lovgivningen. GDPR kræver, at det specifikke retsgrundlag angives for hvert formål. Brug GDPR art. 6, stk. 1, litra b (kontraktopfyldelse) for kontingentadministration og litra f (berettiget interesse) for aktivitetskommunikation.
Fejl 3 — Manglende opbevaringstid. En persondatapolitik uden angivelse af opbevaringstid opfylder ikke GDPR art. 13, stk. 2, litra a. Angiv konkrete opbevaringsperioder: kontingentoplysninger 5 år (bogføringsloven), øvrige oplysninger 1-2 år efter udmeldelse.
Fejl 4 — Manglende databehandleraftaler med IT-systemer. Foreninger, der bruger Conventus, LASSO X, MemberCreator eller andre cloud-systemer, skal have indgået databehandleraftaler med leverandørerne. Manglende databehandleraftale er en overtrædelse af GDPR art. 28, som Datatilsynet kontrollerer aktivt.
Fejl 5 — Manglende procedure for børns samtykke. Foreninger med aktiviteter for mindreårige glemmer ofte at have en procedure for forældrenes samtykke ved indmeldelse af børn under 15 år, jf. databeskyttelsesloven § 6. Indsæt en separat samtykkeformular for forældre.
Fejl 6 — Oplysninger om Datatilsynet mangler. Persondatapolitikker, der ikke nævner Datatilsynets kontaktoplysninger, opfylder ikke GDPR art. 13, stk. 2, litra d. Angiv altid Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, [email protected] som klageinstans.
Fejl 7 — Politikken opdateres ikke. En persondatapolitik, der ikke er opdateret siden GDPR-ikrafttrædelsen i 2018, kan indeholde fejlagtige oplysninger om retsgrundlag, opbevaringstider eller databehandlere. Gennemgå politikken mindst én gang om året og opdater den ved nye behandlingsaktiviteter eller lovændringer.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Membership Register Privacy Policy Denmark (Denmark) [Legal document template]. Forms Legal. https://forms-legal.com/danmark/business/corporate/membership-register-privacy-policy-denmark
"Membership Register Privacy Policy Denmark (Denmark)." Forms Legal, 2026, https://forms-legal.com/danmark/business/corporate/membership-register-privacy-policy-denmark.
@misc{formslegal-membership-register-privacy-policy-denmark,
author = {{Forms Legal}},
title = {Membership Register Privacy Policy Denmark (Denmark)},
year = {2026},
howpublished = {\url{https://forms-legal.com/danmark/business/corporate/membership-register-privacy-policy-denmark}},
note = {Free legal document template}
}Frequently Asked Questions
Ja. Enhver forening, der behandler personoplysninger om sine medlemmer, er som dataansvarlig forpligtet til at informere de registrerede om behandlingen, jf. GDPR art. 13. Informationspligten opfyldes normalt ved at udlevere en skriftlig persondatapolitik til nye medlemmer ved indmeldelse og offentliggøre den på foreningens hjemmeside. Datatilsynet vejleder om foreningers behandling af personoplysninger og foretager tilsyn, som kan udløse påbud og bøder. En forening, der ikke har en persondatapolitik, risikerer en advarsel fra Datatilsynet som minimumsreaktion og i grovere tilfælde bøde. Foreninger er dataansvarlige på samme vilkår som virksomheder, og GDPR skelner ikke imellem foreningers størrelse og aktiviteter.
Nej. Uanset om et foreningssystem er gratis eller betalt, er leverandøren en databehandler, når de behandler personoplysninger på foreningens vegne. GDPR art. 28 kræver, at foreningen som dataansvarlig indgår en skriftlig databehandleraftale med leverandøren. Aftalen skal specificere, at leverandøren kun behandler oplysningerne efter foreningens instruks, sikrer fortrolighed, opfylder sikkerheds-kravene i GDPR art. 32 og bistår foreningen med at opfylde de registreredes rettigheder. Mange leverandører af foreningssystemer har standardvilkår, der opfylder GDPR art. 28, og disse kan gennemses på leverandørens hjemmeside. Manglende databehandleraftale er en overtrædelse af GDPR, som Datatilsynet kontrollerer og kan sanktionere.
Opbevaringstiden afhænger af oplysningernes type. Regnskabsbilag med kontingentbetalinger skal opbevares i 5 år efter regnskabsårets udløb, jf. bogføringsloven (LBK nr. 1330 af 03/11/2023) § 10. Denne opbevaringspligt er lovbestemt og kan ikke forkortes. Andre personoplysninger om det udmeldte medlem, såsom adresse og telefonnummer, kan slettes kort efter udmeldelse, typisk inden for 1-2 år, afhængigt af om foreningen har en berettiget interesse i at opbevare dem. Opbevaringstiden bør stå klart i persondatapolitikken og afspejle det reelle behov. Datatilsynet kan kræve sletning, hvis oplysninger opbevares ud over det nødvendige.
Brud på persondatasikkerheden skal anmeldes til Datatilsynet inden for 72 timer efter konstatering, hvis bruddet udgør en risiko for de registrerede, jf. GDPR art. 33. Datatilsynet har en online-anmeldelsesformular på datatilsynet.dk. Anmeldelsen skal indeholde: en beskrivelse af bruddet, de berørte kategorier og antal registrerede, de sandsynlige konsekvenser og de foranstaltninger, der er truffet. Udgør bruddet en høj risiko for de registrerede, for eksempel ved lækage af helbredsoplysninger eller kontingentoplysninger, skal foreningen også underrette de berørte registrerede direkte, jf. GDPR art. 34. Manglende anmeldelse af et databrud er en selvstændig overtrædelse af GDPR og kan udløse bøder fra Datatilsynet.
Ja, i visse situationer. Et foreningsmedlem har ret til at kræve sletning af sine personoplysninger, jf. GDPR art. 17 (retten til at blive glemt), men retten er ikke ubegrænset. Sletning kan afvises, hvis foreningen har en lovbestemt pligt til at opbevare oplysningerne, for eksempel kontingentoplysninger i 5 år jf. bogføringsloven, eller hvis foreningen har en berettiget interesse, der overstiger den registreredes interesse i sletning. Foreningen bør svare på sletningsanmodninger inden 1 måned, jf. GDPR art. 12, og enten slette oplysningerne, angive hvilke oplysninger der ikke kan slettes og begrundelsen herfor, eller afvise anmodningen med begrundelse. Den registrerede kan klage til Datatilsynet, hvis vedkommende ikke er tilfreds med foreningens svar.
Nej, foreninger behøver som udgangspunkt ikke at anmelde deres behandlinger til Datatilsynet. GDPR afskaffede den generelle anmeldelsespligt fra de gamle persondataregler. I stedet kræver GDPR, at visse typer behandlinger dokumenteres i en intern fortegnelse over behandlingsaktiviteter, jf. GDPR art. 30. Fortegnelsen kræves for behandlinger, der udgør en risiko for de registrerede, herunder behandling af følsomme oplysninger. Foreninger med over 250 ansatte skal altid have en fortegnelse. Foreninger med færre ansatte er kun forpligtede, hvis de behandler følsomme oplysninger, foretager regelmæssig systematisk overvågning eller behandler straffeattest-oplysninger. Datatilsynet vejleder om kravene til fortegnelsen på datatilsynet.dk.
Databeskyttelsesloven § 6 fastsætter, at børn under 15 år ikke selvstændigt kan samtykke til behandling af personoplysninger — forældrenes samtykke er påkrævet. Foreningen bør have en samtykkeformular, der er sendt til forældrene og indeholder: en klar beskrivelse af, hvilke oplysninger der behandles; til hvilke formål; at samtykket kan tilbagekaldes til enhver tid; og forældrenes underskrift. Samtykket bør indhentes skriftligt, så foreningen kan dokumentere, at det er indhentet. Digital samtykkeindsamling via e-mail eller en online-formular er acceptabel, forudsat at det er dokumenteret, hvem der har givet samtykke og hvornår. Foreningen bør opbevare samtykkedokumentationen i hele den periode, oplysningerne behandles, og slette den, når oplysningerne slettes.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Vedtægter for forening
Vedtægter for en dansk forening, der fastlægger navn, formål, medlemskab, kontingent, generalforsamling, bestyrelse, regnskab og opløsning. Tilpasset dansk foreningsret og databeskyttelsesloven (LOV nr. 502/2018).
Bestyrelsesaftale — forening
Bestyrelsesaftale for frivillig forening i Danmark, der fastlægger bestyrelsesmedlemmets rolle, valgperiode, opgaver, tavshedspligt, honorar og overdragelse ved fratrædelse.
Databehandleraftale Danmark — GDPR art. 28 og databeskyttelsesloven
Databehandleraftale til Danmark efter GDPR art. 28 og databeskyttelsesloven (lov nr. 502/2018). Regulerer formål, sikkerhedsforanstaltninger, underdatabehandlere, 72-timers anmeldepligt og sletning. Gratis skabelon PDF/Word.
Persondatapolitik for virksomhed
Persondatapolitik (privatlivspolitik) til en dansk virksomhed med beskrivelse af behandlingsformål, retsgrundlag, opbevaring og de registreredes rettigheder. Udarbejdet i henhold til GDPR og databeskyttelsesloven (LOV nr. 502 af 23/05/2018).