GDPR för förening i Svemo

Den 25:e maj 2018 infördes den nya dataskyddsförordningen och detta sågs som ett startskott för ett arbete som kommer fortlöpa under lång tid.

På Riksidrottsförbundets (RFs) hemsida finns mer omfattade dokumentation, utbildning och mallar. Där finns också fullständiga instruktioner om hur ni som förening efterlever dataskyddsförordningen. För idrottsföreningar finns en checklista, gå igenom checklistan och se till att ni som idrottsförening snarast är i fas med punkterna på listan.

• Information om GRPR på RFs hemsida
• Checklista för föreningar
• Arbetsbok för föreningar om GDPR

Vi reserverar oss för att den länkade dokumenten på denna sidan kanske inte är den senaste versionen. För att hämta den senaste versionen av respektive dokument, gå till RFs hemsida.

Att göra

1. Se till så att styrelsen är insatt i arbetet med dataskyddsförordningen.
2. Utse minst 1 person som är ansvarig för att arbetet genomförs och sköts kontinuerligt för varje register.
3. Kartlägg och bestäm vad personuppgifterna ska användas till.
4. Upprätta en registerförteckning enligt mall
5. Gå igenom era register och se till så att de personer som inte längre är med i er förening raderas och se till så att de uppgifter som finns i registret är uppdaterade.
6. Se till att ni har rutiner för att kontinuerligt uppdatera era register så att alla ändringar görs så snart det är möjligt.
7. Upprätta eventuella personuppgiftsbiträdesavtal med externa leverantörer. Detta behöver normalt inte göras mot IdrottOnline eller Svemo då Svemo kansli har gemensamt personuppgiftsansvar.

Att göra löpande

1. Informera de personer som du samlar in uppgifter för. Avsiktsförklaring måste ges till person och godkännande från person måste ges. Vid medlemskap i förening är den lagliga grunden ’Avtal’ och då anses godkännandet ges vid betalning av medlemsavgiften.
2. Håll era register uppdaterade.
3. Se till så att ni som idrottsförening har laglig grund och avtal om så krävs för behandling av personuppgifter i nya register. Upprätta även avsiktsförklaring och se till så att även dessa register finns med i registerförteckningen.
4. Vid publicering av personuppgifter se till att ni som idrottsförening har samtycke från samtliga personer och/eller annan laglig grund för publicering av uppgifterna.
5. Se till att personuppgifter inte sprids till obehörig.
6. Vid incident, rapportera till korrekt enhet omedelbart med fullständig information

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

En personuppgift är all slags information som kan kopplas till en enskild individ. Det innebär att till exempel namn, personnummer och adress är personuppgifter.

Laglig grund och avsiktsförklaring

Alla register eller verktyg som organisationen använder för att spara eller behandla personuppgifter måste kopplas till en laglig grund samt inneha en avsiktsförklaring för registret. Avsiktsförklaringen ska finnas tillgänglig i samband eller innan registrering så att den registrerade förstår anledningen till behandlingen av personuppgifterna.

Avsiktsförklaringen eller ”ändamålet för behandling” ska skrivas upp i registerförteckningen ”Register över register”.

Med laglig grund så menas det lagstöd som kan kopplas till en giltig hantering av personuppgifter. Alla register måste kunna knytas till minst 1 laglig grund för behandling av personuppgifterna.

Avsiktsförklaringen är det som beskriver avsikten eller ändamålet för behandlingen av uppgifterna i registret.

Mer information om laglig grund för behandling av personuppgifter kan hittas på sidorna 10–13 i:

• Behandling av personuppgifter – Uppförandekod för idrottsrörelsen
• Mall för integritetspolicy

Strukturerat och ostrukturerat material

Strukturerat material är personuppgifter som förekommer i traditionella dataregister så som databaser och ärendehanteringssystem. För att hantera strukturerat material så krävs det att man följer dataskyddsförordningen och då de rättigheter som enskilda individer har enligt dataskyddsförordningen.

Ostrukturerat material är personuppgifter som förekommer ostrukturerat och med det så menar man personuppgifter som förekommer i till exempel ordbehandlingsprogram, löpande text på internet som exempelvis. sociala medier, ljud och bildupptagningar samt e-post.

Register över register – registerförteckning

Ett register är ett dokument, databas eller fysiska pappersdokument som innehåller uppgifter som kan identifiera en enskild eller flera individer.

Enligt dataskyddsförordningen så finns numera som krav att man som organisation måste ha en registerförteckning och detta är ett elektroniskt dokument där man listar alla register som den egna organisationen använder och på begäran ska detta dokument överlämnas till Datainspektionen.

Registerförteckningen ska innehålla följande information

• Ev. gemensamt personuppgiftsansvarig
• Ev. Dataskyddsombud
• Ändamål med behandling
• Kategorier av personuppgifter
• Mottagare
• Tredjelandsöverföring m.m.
• Lagringstid

Vid frågor om mallarna eller annat material på rf.se/Personuppgifter var god kontakta dataskydd@rf.se

Personuppgiftsansvarig (PUA) och Personuppgiftsbiträde (PUB)

Personuppgiftsansvarig är den juridiska person (förening) som behandlar personuppgifter i sin verksamhet och som bestämmer vilka personuppgifter som ska behandlas och vad de ska användas till. Det är alltså inte en enskild individ i förening som har juridiskt ansvar för personuppgiftshanteringen.

Personuppgiftsbiträde finns alltid utanför den egna organisationen. Ett personuppgiftsbiträde är en organisation, individ eller annan enhet som behandlar personuppgifter på uppdrag av personuppgiftsansvarig. För att behandlingen ska vara giltig så måste det upprättas ett skriftligt avtal.

• Instruktion för personuppgiftsbiträdesavtal

Protokoll och föreningsdokument

Som förening får man spara protokoll och andra föreningsdokument för historiskt och statistiskt syfte. Se till att personerna som finns med i dessa dokument är medvetna om att deras uppgifter kommer att finnas med på tillsvidarebasis.

Vid begäran av radering från dessa dokument så får ni som idrottsförening neka eftersom det finns undantag för radering av historiska och statistiska skäl.

Prova På-licenser

Prova På-licenser som är utfärdade av Svemo ska sparas digitalt från det att licensen köps och utnyttjas av förare.
Uppgifterna på ProvaPå-licensen måste sparas i syfte att tillhandahålla information till Svemo och försäkringsbolaget på förfrågan.

Laglig grund för behandling av ProvaPå-licenser är samtycke.

Avsikten för detta är för att eventuellt ge informationen vidare till försäkringsbolaget och Svemo vid försäkringsreglering

Personuppgifter från träningsverksamhet och övrig verksamhet

Vid insamlingen av personuppgifter för träningsverksamhet eller övrig verksamhet där insamling är lämplig bör man radera dessa uppgifter 30 dagar efter att man samlat in dem. Som förening får ni som idrottsförening anonymisera och spara dessa uppgifter i syfte att föra statistik. Med anonymisering så menas att man tar eller byter ut all information som kan kopplas till en individ.

Laglig grund för detta är samtycke och ni bör informera samtliga som tränar på er bana att deras uppgifter kommer att sparas i detta register under utsatt tidsperiod. Utan samtycke så har ni som idrottsförening rätt att neka personer att delta i aktiviteten.

Exempel på avsikt kan vara eventuell försäkringsreglering och statistik.

Arkiv

Som idrottsförening får ni spara personuppgifter i arkiv om dessa register har en laglig grund och en avsikt. Ni som idrottsförening får neka radering från dessa register om personuppgifterna finns med av historiska eller statistiska skäl.

Laglig grund är uppgift av allmänt intresse och syftet är historik och statistik

E-post

Om personuppgifter inkommer via e-post så ska e-posten raderas direkt efter det att personuppgiften blivit hanterad och inlagd i rätt system. Man ska inte spara personuppgifter i e-post längre än absolut nödvändigt.

Med utgående personuppgifter ska organisationen minimera personuppgifter så långt det går och inte skicka e-post med unika identifierare som t.ex. personnummer. Även andra personuppgifter ska minimeras och helst uteslutas ur e-post.

• Information om hur e-post ska hanteras kan finns på punkt 6 i Instruktioner för behandling av ostrukturerat material 

Sociala medier

Personuppgifter får endast publiceras om det finns ett samtycke från samtliga som kan kopplas till det publicerade materialet. Utöver detta så ska inte personuppgifter spridas utan laglig grund och tydlig avsikt.

Underhåll av register

Se till så att ni som idrottsförening inte sparar uppgifter för en individ längre än vad som är nödvändigt för syftet med behandlingen av personuppgifterna. Detta betyder att man kontinuerligt i det dagliga arbetet med föreningen gör alla ändringar så snart man kan och går igenom sina register och ser till att de alltid är uppdaterade och att personuppgifter som inte längre behövs till något specifikt syfte raderas.

Incidenthantering och skyldighet att rapportera personuppgiftsincidenter

Om ni som förening upptäcker att ni har blivit av med personuppgifter eller att personuppgifter har hanterats på ett inkorrekt sätt och på grund av det hamnat i fel händer, kontakta dataskydd@rf.se och dataskydd@svemo.se med fullständiga uppgifter om incidenten samt vilket register det avser.

• Instruktion för åtgärdsplan vid personuppgiftsincident