Kort fortalt
Fitnesscentre håndterer mere persondata end de fleste andre små og mellemstore virksomheder. Sundhedsoplysninger, billeder og betalinger. De fem ting, I skal have styr på: lovgrundlag, opbevaring, samtykker, databehandleraftaler og brugerrettigheder.
Bemærk: artiklen er en praktisk introduktion, ikke juridisk rådgivning. Få konkrete vurderinger valideret af en advokat eller Datatilsynet.
Hvad kræver GDPR af et fitnesscenter?
Fem områder skal være på plads:
Lovgrundlag for hver type data, I behandler
Klare opbevaringsperioder, der er dokumenteret
Eksplicit samtykke til marketing og sundhedsoplysninger
Databehandleraftale med alle eksterne leverandører
System til at håndtere brugerrettigheder (indsigt, sletning, eksport)
1. Hvilken data behandler I egentlig?
Start med en datakortlægning. Skriv ned, hvilken data I indsamler, hvor den ligger, hvem der har adgang, og hvor længe den bliver gemt. Typiske kategorier i et fitnesscenter:
Almindelige personoplysninger (navn, adresse, telefon, e-mail). Sundhedsoplysninger, hvis I har skader, allergier eller helbredsformularer. Det er en særlig kategori, der kræver eksplicit samtykke. Billeder fra fitnesscenteret eller fra hold, hvis de er identificerbare. Betalingsdata. Adgangsdata fra adgangskontrolsystemer.
2. Hvad er jeres lovgrundlag for at behandle den?
Hver type data skal have et lovgrundlag. De fire mest relevante for fitnesscentre er:
Kontraktopfyldelse. I må behandle data, der er nødvendig for at opfylde aftalen, fx betaling, booking og adgang.
Samtykke. Nødvendigt til marketing, billeder I publicerer og særlige kategorier som sundhed.
Legitim interesse. Kan dække ting som sikkerhed og forebyggelse af svindel, men kræver en interesseafvejning, I kan dokumentere.
Lovkrav. Regnskab, skat, hvidvask osv.
3. Hvor længe må I gemme det?
Sletteperioder skal være konkrete og dokumenterede. Ikke "indtil videre". Typiske eksempler: bogføringsmateriale 5 år, almindelige medlemsdata efter ophør 6 til 12 måneder (hvis ikke andre regler kræver længere), og marketingsamtykker indtil tilbagekaldelse.
Det vigtige er ikke, at perioden er rigtig på tværs af alle fitnesscentre. Det vigtige er, at I har taget stilling og kan begrunde valget.
4. Databehandleraftaler
Hver gang en ekstern leverandør behandler personoplysninger på jeres vegne (bookingsystem, mailudbyder, betalingsgateway), skal der være en databehandleraftale (DPA). Det er et lovkrav, ikke en formalitet.
En god DPA beskriver konkret, hvilken data der behandles, til hvilket formål, hvor længe, og hvilke sikkerhedsforanstaltninger der er på plads.
5. Medlemmernes rettigheder
Hvert medlem har ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse. I skal kunne reagere på en sådan henvendelse inden for 30 dage.
Praktisk betyder det: I skal vide, hvor data ligger, I skal kunne trække den ud i et læsbart format, og I skal kunne slette den uden at efterlade kopier. Det er svært, hvis data er spredt over Excel, indbakker og post-its. Det er trivielt, hvis det hele ligger i ét system.
Næste skridt
Læs vores privatlivspolitik og se et eksempel på struktur. Eller book en demo og se, hvordan FitnessBooking gør det nemmere at overholde rettigheder og opbevaring.
GDPR-klar booking fra dag ét
Book en demo og se, hvordan FitnessBooking er bygget med GDPR i tankerne.
ui.blog.related_eyebrow
