Mange foreninger overholder ikke den gældende persondatalov, skriver firmaet Groupcare. Foreninger, som bruger Mailchimp, er blandt eksemplerne. Fra maj 2018 træder en endnu skrappere lovgivning på området i kraft.
Mange små og mellemstore foreninger bruger programmet Mailchimp til at udsende deres nyhedsbreve. Meget tyder på, at de fleste af dem ikke overholder persondataloven, der fastlægger, hvordan foreninger og andre skal behandle personoplysninger.
Det er Groupcare, som med to aktuelle artikler, sætter fokus på temaet. Groupcare leverer administrative løsninger for medlemsorganisationer.
Personoplysninger til USA
Persondataloven forbyder foreninger og andre at overføre personoplysninger til lande uden for EU, med mindre de har ens ærlig aftale med EU. E-mail adresser regnes for identificerbare personoplysninger.
USA, som er hjemsted for Mailchimp, har indgået en aftale med USA, der gør det muligt for amerikanske virksomheder at blive certificerede til at modtage personoplysninger fra EU-lande. Sådan en certificering har Mailchimp ikke. I stedet har de valgt at tilbyde hver enkelt kunde særaftale, hvilket også er lovligt.
Problemet er, at de færreste danske foreninger, der bruger Mailchimp har sådan en aftale.
Groupcare har identificeret 79 foreninger, som bruger Mailchimp. Af dem har de fået kontakt til 55 og spurgt til databehandleraftaler. Kun en af disse foreninger kunne bekræfte, at de har sådan en aftale.
Gamle medlemmer
I artiklerne peger Groupcare-medarbejder Thorleif Rytz Gotved på en anden type overtrædelse af loven. Det handler om oplysninger om tidligere medlemmer og nyhedsbrevsabonnenter.
Som udgangspunkt er det ikke lovligt at gemme personoplysninger på personer, som ikke længere er medlemmer af foreningen. Det må foreningen kun, hvis der er en god grund til det, som er beskrevet i foreningens vedtægter. Hvis f.eks. kontingentet er fradragsberettiget.
Thorleif Rytz Gotved giver et personligt eksempel: ”Fx kontaktede denne artikels forfatter for nyligt en større medlemsorganisation, som jeg meldte mig ud af for 8 år siden, og spurgte om jeg var registreret. Det var jeg – uden at der var en god grund, som eksplicit var anført i foreningens vedtægter.”
I dag er straffen for overtrædelse af persondataloven begrænset. Den højeste bøde, der hidtil er givet, er på 25.000 kr. Men den 25. maj træder en ny EU persondataforordning i kraft, også i Danmark, og så vil bødetaksterne stige markant.