Personlige trænere og GDPR – det skal du være opmærksom på
Når du har klienter enten som personlig træner eller online-coach, har du med data at gøre. Lige så snart du indsamler og behandler dine klienters data, er der en gældende datalovgivning, som du skal overholde. Her taler vi om GDPR, som du måske har hørt om.
Men ved du egentlig, hvad GDPR-lovgivningen omfatter, og hvilken betydning det har for dig, når du arbejder med klienter? Det dykker vi ned i her i indlægget, hvor vi kigger nærmere på, hvad du skal være opmærksom på i forhold til GDPR-reglerne.
Hvad er GDPR?
GDPR står for General Data Protection Regulation, og er en europæisk udstedt lov. Du kender den måske også under navnet persondataforordningen eller databeskyttelsesforordningen. Det er blot flere sider af samme sag.
GDPR-loven er grundlæggende kommet til verden for at beskytte personers data, der bliver behandlet eller lagret i en virksomhed. Det gælder også, når du som personlig træner arbejder med klienter. Du skal nemlig bruge forskellige personoplysninger, før det er muligt at starte samarbejdet op.
GDPR fungerer derfor som en form for beskyttelse, hvor kunder skal forsikres om, at deres ”lånte” data bliver behandlet korrekt og i overensstemmelse med lovgivningen.
GDPR-loven handler både om beskyttelse af data, men også visse rettigheder fra dine klienters side. De har blandt andet rettigheden til at blive glemt – altså få alt det data, du har til rådighed om vedkommende, slettet.
Hvilken betydning har GDPR-loven for min forretning som personlig træner?
Du skal være opmærksom på, at der er visse GDPR-krav, du skal leve op til, når du er personlig træner.
Når du behandler dine klienters data, skal det foregå:
- lovligt
- transparant
- retfærdigt.
I praksis betyder det, at du kun må behandle den data fra dine klienter, som du reelt set har behov for. Derudover skal du oplyse dine klienter om, hvilke data om dem du benytter, hvorefter du kun bruger det til specifikke formål, der har med forløbet at gøre.
Lad os tage et eksempel. Hvis du for eksempel beder om din klients personnummer, skal du også bruge det til et forklarligt formål. Kan du ikke give en fornuftig forklaring, har du ikke ret til at indsamle denne form for data.
Et alternativ kunne være fødselsdato eller alder, hvis det er en vigtig oplysning for dig, når du for eksempel skal sammensætte træningsprogrammer eller kostplaner. Hvis ikke, kan du helt undlade at spørge om denne oplysning, da den ikke er relevant for dig.
Konkrete GDPR-regler, du skal forholde dig til
GDPR-loven består af flere regler, du skal kende og tage stilling til. Vi har samlet nogle af de punkter, du skal være særligt opmærksom på, når du er personlig træner.
Du kan også læse mere om GDPR-reglerne på Datatilsynet.dk.
Samtykke – rettigheden til at acceptere eller afslå dataindsamling
Når du indsamler data om dine klienter eller potentielle klienter, skal du ifølge GDPR-loven have tilladelse til det. Det er for eksempel, når du indsamler data på din hjemmeside.
Langt de fleste hjemmesider indsamler data om den besøgende. Det er ikke som sådan personlige oplysninger, men det er data, der gør det muligt at identificere browserens enhed, hvilket gør det muligt at tracke, hvilke sider og funktioner der bliver benyttet. Når enheden bliver identificerbar, har vi at gøre med personoplysninger – selvom der ikke bliver oplyst navn, alder, bopæl eller andet.
Den besøgende skal selvfølgelig informeres om, at du bruger deres persondata, således vedkommende selv kan tage stilling til, om personen vil give tilladelse til det eller ej. Altså skal vedkommende give samtykke.
På hjemmesider kender du det sikkert som en pop up, der dukker op i bunden af hjemmesiden, hvor man skal acceptere cookies. Det er her, du oplyser om, at vedkommendes data bliver behandlet, og at vedkommende skal give sit samtykke.
Skal du indsamle mere personlige oplysninger, som fx navn, alder, bopæl eller lignende, skal du selvfølgelig også have samtykke til dette. Det kan fx være et afkrydsningsfelt, hvor klienten accepterer din privatlivspolitik.
Oplysningspligten – informér om, hvordan du behandler data
Oplysningspligten i GDPR går ud på, at du skal oplyse dine klienter (eller potentielle klienter) om, hvilke data du indsamler, og hvordan du behandler dem. Oplysningspligten er især relevant for dig at forholde dig til, hvis du har en hjemmeside.
Oplysningspligten består blandt andet i, at du skal have en privatlivspolitik på din hjemmeside. Her beskriver du, hvordan du behandler dine besøgendes persondata.
Det skal være nemt for den besøgende at finde din privatlivspolitik på hjemmesiden. Personen skal nemlig altid have mulighed for at finde informationer om, hvordan du behandler vedkommendes oplysninger.
Databehandleraftale – få databehandlingen med tredjepart på plads
Hvis du bruger systemer som FlowFit, hvor personlige oplysninger bliver lagret og behandlet, skal du have en databehandleraftale med leverandøren. I databehandleraftalen skal det præciseres, hvordan databehandleren (fx FlowFit) skal behandle den data, der bliver indsamlet om dine klienter.
Det kan være en smule kringlet at finde rundt i databehandleraftaler. Vi anbefaler derfor, at du får en rådgiver inden for GDPR til at læse aftalen igennem, inden du accepterer den. På den måde undgår du, at du får sagt ja til en aftale uden at være grundigt informeret om, hvad aftalen har af betydning.
Intern fortegnelse – en oversigt over behandlingsaktiviteter
Når du bearbejder data, er du ifølge GDPR forpligtet til at have en intern fortegnelse. Det er en oversigt over, hvilke behandlingsaktiviteter, du foretager. Helt konkret skal du oplyse, hvordan du behandler data. Det er altså alle de processer og opgaver, hvor der på den ene eller anden måde indgår personlige oplysninger om en person.
Igen er vi ude i et GDPR-regel, der kan være lidt kompleks at arbejde med. Det er derfor en fordel at få en rådgiver indover, der kan hjælpe dig med at få formuleret en intern fortegnelse korrekt, og som lever op til GDPR-lovgivningen.
Læs mere om interne fortegnelser i Datatilsynets vejledning.
Vigtigt råd: Pas på din data
Når du har med persondata at gøre, er et af de vigtigste råd, at du passer godt på din data. I praksis betyder det for eksempel, at du skal have kode på din computer, telefon og tablet, hvor der er adgang til dine klienters persondata.
Derudover skal du selvfølgelig passe på dine elektroniske enheder. Mister du dem, mister du også en stor del af dit arbejde – og alle dine klienters data. Det vil derfor betyde, at du har et databrud, som du skal informere dine klienter om og potentielt rapportere til Datatilsynet.
Hvordan sikrer jeg min data i dagligdagen?
Det, at have en kode på dine enheder, er ikke nok i sig selv. Du er nødt til at have en sikker kode, som ikke lige kan gættes, hvis for eksempel din computer eller telefon kommer i de forkerte hænder.
Gå uden om at bruge kattens eller hundens navn. Der skal mere variation til, og det skal ikke være et intuitivt kodeord. Jo mere tilfældigt, det kan blive, desto bedre. Brug gerne minimum otte karakterer, hvor du både har store og små bogstaver samt specialtegn og tal. Det øger sikkerheden.
Når det kommer til at sikre dig i dagligdagen, kan du med fordel også kryptere din harddisk på computeren. Det sikrer, at det kun er muligt at komme ind i den med dit password – hvis nu computeren skulle blive stjålet.
Derudover anbefaler vi, at du nøje vælger onlinesystemer, der har styr på databehandling – både af dine oplysninger og dine klienters oplysninger. På den måde kan du sove trygt om natten.
Helt lavpraktisk er det selvfølgelig også vigtigt, at du har en opdateret anti-malware, og at der er et effektivt virussystem installeret på din computer.
Hvordan forholder FlowFit sig til GDPR?
Hos FlowFit har vi taget alle forholdsregler for at sikre, at dine og dine klienters data bliver behandlet korrekt og i overensstemmelse med GDPR-reglerne.
Vi har haft Sixtus Compliance, der er juridisk rådgiver og ekspert i GDPR, ind over udarbejdelsen af privatlivspolitikker og databehandleraftaler. Derudover har de rådgivet omkring hele vores sikkerheds-setup. Vi har derfor foretaget alle de nødvendige foranstaltninger, der skal til for at leve op til kravene om databeskyttelse.
Du er derfor i trygge hænder, når du benytter FlowFit.