Les associations sont considérées comme Responsable au sens de l'article 4, point 7 RGPD est tenu de remplir toutes les exigences en matière de protection des données et de prouver qu'il les respecte (art. 5, al. 2 RGPD - obligation de rendre des comptes). La mise en œuvre pose régulièrement des défis pratiques considérables, en particulier pour les petites associations organisées sur la base du bénévolat. Les explications suivantes résument les principales obligations au sein de l'association.
Légitimité du traitement des données
La base juridique centrale pour le traitement des données au sein de l'association est l'article 6, paragraphe 1, point b). RGPD - l'exécution du contrat d'association, concrétisé par les statuts de l'association. En outre intérêts légitimes (art. 6, paragraphe 1, lettre f) RGPD) ou des consentements (art. 6, al. 1, let. a RGPD) les Traitement justifier une telle mesure. Ces dernières sont notamment nécessaires lorsque des données sont traitées ou publiées au-delà des finalités de l'adhésion (par exemple Photos, listes d'anniversaires, appels aux dons par e-mail). Le site Consentement doit être volontaire, informée, sans ambiguïté, liée à un but précis et révocable à tout moment. Elle doit être documentée par écrit ou par voie électronique et ne doit pas se cacher dans des déclarations générales.
Lors de la Traitement des catégories particulières de données à caractère personnel (art. 9 RGPD) - par exemple Données de santé - est régulièrement une demande expresse Consentement sont nécessaires. Cela concerne typiquement les groupes d'entraide, les syndicats ou les associations religieuses.
Responsabilité organisationnelle au sein de l'association
Le conseil d'administration de l'association doit se porter garant, tant en droit qu'en fait, du respect des dispositions légales relatives à la protection des données (§ 26 al. 1 p. 2 BGB en relation avec l'art. 24 de la loi sur la protection des données). Art. 24 RGPD). Il a des mesures techniques et organisationnelles de prendre les mesures nécessaires pour garantir la licéité du traitement des données.
Cela inclut également la délégation de tâches, dont la mise en œuvre conforme à la protection des données doit être garantie. Même en cas de délégation, la responsabilité globale reste du ressort du comité directeur.
Tous dans l'association avec la Traitement Les personnes chargées de la protection des données à caractère personnel sont tenues de respecter les règles de confidentialité. Confidentialité de s'engager dans cette voie. Certes, la RGPD pas de réglementation correspondant à l'ancien § 5 BDSG, mais un engagement documenté sur les principes de protection des données de l'art. 5, al. 1 RGPD est nécessaire.
En outre, il convient de s'assurer que les personnes concernées - notamment les membres, les bénévoles et les prestataires de services - sont informées des Traitement de leurs données conformément aux articles 13 et 14 RGPD être informés de la situation. Ce Obligations d'information devraient être intégrées dans le formulaire d'adhésion, une information ultérieure étant recommandée pour les adhésions déjà existantes.
Sécurité des Traitement au sein de l'association
La sécurité des Traitement des données à caractère personnel est un principe central du RGPD. Selon l'art. 32 RGPD sont Responsable - les associations - sont tenues de fournir des mesures techniques et organisationnelles (TOM) afin de garantir un niveau de protection adapté au risque. Ces mesures doivent être régulièrement vérifiées et, le cas échéant, adaptées.
Les mesures techniques de protection sont par exemple Cryptage des données enregistrées et transmises (par ex. cryptage du transport et de bout en bout pour les courriels), protection par mot de passe et authentification à deux facteurs lors de l'accès aux données des membres, mises à jour régulières de sécurité et logiciel antivirus, comptes d'utilisateurs séparés pour les systèmes utilisés en commun, mécanismes de blocage automatique en cas d'inactivité.
Les mesures organisationnelles au sein de l'association comprennent notamment : un concept d'autorisation et de rôle clairement défini pour l'utilisation des données, la formation des membres du comité directeur et des bénévoles à une utilisation sûre des données personnelles, l'élaboration d'un concept de protection des données et de sécurité informatique, la définition de voies de communication en cas d'incidents de protection des données, des règles écrites pour l'utilisation d'appareils privés ("Apportez votre propre appareil") ainsi que leur contrôle.
En outre, les concepts de sauvegarde, la journalisation des accès ainsi que les concepts de suppression des données qui ne sont plus nécessaires doivent également être considérés comme des éléments de l'organisation de la protection des données.
Conseil de lecture : Bulletin d'information entre RGPD et ePrivacy - Consentement pas toujours nécessaire
Droits des personnes concernées
Les associations doivent mettre en place des procédures internes qui garantissent un traitement rapide, complet et conforme à la protection des données des demandes des personnes concernées. Cela comprend notamment la mise en place d'un point de contact central pour les demandes de protection des données, la formation des personnes compétentes ainsi que la Documentation des demandes entrantes et de leurs étapes de traitement.
Conformément à l'art. 15 RGPD ont concernés personnes ont un droit d'accès aux données enregistrées les concernant. Ce Droit d'accès s'étend, entre autres, aux fins de TraitementLes données à caractère personnel sont traitées conformément aux dispositions de la présente directive, y compris les catégories de données traitées, les destinataires ou les catégories de destinataires auxquels les données ont été ou seront divulguées, la durée de conservation prévue ou les critères appliqués pour la détermination de cette durée, ainsi que l'existence d'autres droits. Droits des personnes concernées. L'origine des données (dans la mesure où elles n'ont pas été collectées auprès de la personne concernée) et l'existence d'une prise de décision automatisée, y compris d'un traitement de données à caractère personnel, ne sont pas non plus prises en considération. Profilage doit être informé.
En outre, les Personnes concernées sous certaines conditions légales :
- Rectification de données inexactes (art. 16 RGPD),
- Suppression ("Droit à l'oubli", art. 17 RGPD),
- Limitation de la Traitement (Art. 18 RGPD),
- Transférabilité des données (art. 20 RGPD) et
- Opposition contre les Traitement de leurs données (art. 21 RGPD).
Les associations sont tenues de respecter ces droits dans les délais - en général dans un délai d'un mois - et de concernés d'informer la personne concernée des mesures prises. Si les demandes sont rejetées, il convient de motiver ce rejet et d'informer du droit de recours auprès de l'autorité de contrôle de la protection des données.
Délégué à la protection des données et Registre des activités de traitement au sein de l'association
Un délégué à la protection des données doit être désigné si au moins 20 personnes sont régulièrement données à caractère personnel traitent de manière automatisée (§ 38 BDSG). Les bénévoles et les personnes travaillant à temps partiel doivent également être pris en compte. S'il n'y a pas d'obligation de désignation, une désignation volontaire peut être recommandée en cas de risques particuliers, par exemple pour les groupes d'entraide ou les associations politiques.
Chaque association doit en outre avoir un Registre des activités de traitement selon l'art. 30 RGPD tenir à jour. Celui-ci doit contenir tous les processus réguliers de traitement des données, notamment la gestion des membres, le décompte des cotisations ou l'exploitation d'un site web. L'exception prévue à l'article 30, paragraphe 5 RGPD n'est guère appliquée dans la pratique, car les clubs sont régulièrement et durablement données à caractère personnel traiter.
Une Analyse d'impact sur la protection des données (DSFA) conformément à l'art. 35 RGPD doit être effectuée lorsqu'une Traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées. C'est rarement le cas dans le cadre des activités typiques d'une association, mais cela pourrait devenir pertinent si
- vaste Données de santé dans les groupes d'entraide sont collectées et traitées,
- systématique Suivi ou Vidéosurveillance est effectuée,
- des catégories de données particulièrement sensibles sont analysées à l'aide de techniques d'IA ou de profilage.
Si la DSFA est obligatoire, elle doit être effectuée et documentée avant le début du traitement des données. En outre, les mesures d'atténuation des risques doivent également être mentionnées et, le cas échéant, les Autorité de surveillance à consulter si aucune réduction des risques ne peut être obtenue.
En cas de doute, les associations devraient faire vérifier si une DSFA est nécessaire et procéder à une évaluation structurée des risques pour se couvrir. En revanche, pour de nombreux traitements standard - comme la gestion des membres ou le décompte des cotisations - il n'y a généralement pas d'obligation d'effectuer un DSFA.
Conformément à l'art. 32 RGPD sont appropriées mesures techniques et organisationnelles pour sécuriser le traitement des données. Il s'agit notamment CryptageIl est nécessaire de mettre en place des concepts d'autorisation, de séparer les données associatives des données privées et de gérer efficacement les terminaux qui sont également utilisés dans le cadre du travail à domicile. En outre, un concept de sécurité informatique est recommandé. L'envoi de données personnelles par e-mail devrait au moins être crypté pendant le transport, un cryptage de bout en bout est recommandé pour les données particulièrement sensibles. Lors de l'utilisation d'appareils privés, il faut veiller à classifier et à séparer les données, par exemple en créant des comptes d'utilisateurs distincts.
Publication d'informations sur l'association
En cas de publication de données à caractère personnel - par exemple des noms, des fonctions, des photos ou des dates d'anniversaire -, il est généralement nécessaire d'établir une liste documentée des personnes concernées. Consentement de l'entreprise. Cela vaut en particulier pour :
- Photos individuelles et de groupe lors d'événements,
- Listes de résultats de tournois ou de compétitions,
- Mention des membres d'honneur ou des anniversaires,
- Publication des comptes rendus de réunion ou des personnes de contact sur le site web.
Pour Photos les articles 22 et 23 de la KUG s'appliquent en complément. Ceux-ci autorisent certes dans certains cas une publication sans Consentement (par exemple pour les images de réunions ou d'événements historiques contemporains), mais il existe des incertitudes juridiques considérables, notamment en ce qui concerne la diffusion numérique. Dans le contexte associatif, il faudrait donc en principe Consentement qui doit être claire, volontaire et révocable.
Il convient également d'être particulièrement prudent en cas de transmission à des prestataires de services : Si un tiers externe n'agit pas seulement en tant que soutien, mais traite les données sur mandat, il y a régulièrement une Traitement des commandes au sens de l'art. 28 RGPD Cela nécessite un contrat séparé.
Pour des raisons de traçabilité et de responsabilité, chaque transmission de données - en particulier sur Internet - devrait être documentée en interne afin de pouvoir démontrer, en cas de plainte ou de contrôle par les autorités de surveillance, que les exigences légales en matière de protection des données ont été respectées.
Transmission de données à Troisième - notamment à des associations faîtières, des organisations proches de l'association, des prestataires de services externes ou au public par le biais de sites web - nécessitent une base légale. La publication de données à caractère personnel sur Internet constitue une transmission de données au sens de la RGPD et n'est régulièrement possible que sur la base d'une Consentement sont autorisés. Il en va de même pour Photos, les procès-verbaux des réunions et les listes de résultats, sauf exception prévue par le Loi sur les droits d'auteur dans le domaine de l'art (§§ 22, 23 KUG) s'applique. Par mesure de sécurité, la Consentement être documentée dans tous les cas - en particulier pour les photos individuelles et de groupe.
Traitement des commandes et site web
Si un prestataire de services externe est chargé de Traitement de données à caractère personnel, un contrat de sous-traitance doit être conclu conformément à l'article 28 de la loi sur la protection des données. RGPD de conclure des contrats. C'est le cas, par exemple, lorsque l'on fait appel à des prestataires de services informatiques, à des conseillers fiscaux ou à des fournisseurs d'hébergement.
Le site web de l'association doit comporter une déclaration de protection des données conformément à RGPD être facilement accessible et consultable sur chaque sous-site. Elle doit contenir, entre autres, des informations sur le service responsable, le délégué à la protection des données (s'il a été désigné), les finalités, les Bases juridiquesLes informations sur le site web doivent contenir des informations sur les données, les délais de conservation et les droits des personnes concernées. Les bannières de consentement aux cookies et les informations transparentes sur les outils de suivi et d'analyse sont également obligatoires.
Médias sociaux
En l'état actuel de la législation, il est déconseillé d'utiliser les pages fan de Facebook et d'autres réseaux sociaux, car ils ne respectent pas les exigences en matière de protection des données du RGPD - notamment en ce qui concerne la responsabilité conjointe et les transferts vers des pays tiers - ne sont régulièrement pas remplies. En cas d'utilisation obligatoire, des mesures techniques supplémentaires doivent être prises (par exemple, des solutions à double clic).
Source : Protection des données dans les associations après la RGPD
Vous avez besoin d'aide pour la mise en œuvre au sein de votre association ? Nous proposons des conseils pratiques en matière de protection des données et des solutions numériques - efficaces, compréhensibles et conformes à la législation.
Contactez-nous - nous vous aiderons !
☎️ +49 (228) 926165-100
📧paris@2b-advice.com
German 
English 
Italian 
French