Close

Vad är GDPR?

GDPR-illustration-01

I skrivande stund är det personuppgiftslagen (PUL) som anger hur personuppgifter ska hanteras. Den 25 maj 2018 ersätts PUL av dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation) vilken kommer gälla som lag i Sverige. Dataskyddsförordningen kommer ställa högre krav på föreningens personuppgiftshantering och den som inte följer regelverket kommer att drabbas av hårdare sanktioner jämfört med vad som gäller enligt PUL.

Riksidrottsförbundet jobbar också med denna fråga och hur det påverkar idrotten i stort och de håller på att ta fram en Uppförandekod som kan fungera som en bra guide i framtiden. Vi rekommenderar att hålla koll på löpande uppdateringar från dem och mer information finns på svenskidrott.se.


Här nedan reder vi ut och förklarar lite olika begrepp, vad den nya lagen innebär för föreningen och även vad vi på laget.se gör för att hjälpa till.

Vi har tagit hjälp och jobbat med dessa frågor för att kunna informera och hjälpa er som förening för att ni ska kunna vara redo på bästa sätt när lagen träder i kraft den 25 maj. Även om vi har gjort vårt yttersta i att tolka den information som finns ska informationen endast ses som vägledande och för den som vill läsa mer om själva förordningen rekommenderar vi Datainspektionens hemsida, alternativt att man kontaktar ett juridisk ombud för egna tolkningar.

GDPR är den nya Dataskyddsförordningen som innebär högre krav på hantering av personuppgifter.

Om inget syfte finns ska heller inte informationen samlas in.

En personuppgift är all slags information som kan knytas till en fysisk person som är vid liv. Exempel på typiska personuppgifter är namn, personnummer och adresser, men även fotografier, filmer, ljud och IP-adresser kan klassificeras som personuppgifter.

Varje behandling måste ha ett berättigat syfte, som går att koppla till er verksamhet, samt en laglig grund. De vanligaste lagliga grunderna är:

Vad är en personuppgift?


Behandling är alla åtgärder som vidtas avseende personuppgifterna, såsom exempelvis registrering, lagring, ändring och radering av dem. 

När får man behandla personuppgifter?

Vad innefattar att behandla personuppgifter?

1. Samtycke

2. Avtal

3. Lag

4. Intresseavvägning  

Vi rekommenderar därför att se till att samtycke inhämtas från alla personer i föreningens medlemsregister för att på bästa sätt säkerställa att ni uppfyller de krav som kommer ställas på er.

Till det här finns det viktiga undantag ni som förening behöver tänka på och det är t.ex.

  • Alla personer i medlemsregistret är inte medlemmar och har därför inte ingått ett Avtal – det är oftast föräldrar och vårdnadshavare vi pratar om men även andra typer av kontaktpersoner.
  • För alla barn under 16 år krävs det enligt förordningen (artikel 8.1) att ett samtycke ges av den person som har föräldraansvar för barnet.
  • Vid publicering av bilder & filmer på er hemsida ska ni sedan tidigare inhämtat samtycke från de personer som finns med på materialet.
  • Vid sparande av information som kan betraktas som känsliga personuppgifter som t.ex. rör en persons hälsa (sjukdomar, skador och allergier) krävs det att samtycke inhämtas innan informationen lagras.

Vad har vi som förening för laglig grund till att behandla personuppgifter?

Vid registrering av medlemmar i medlemsregistret på laget.se stödjer föreningen sin behandling av personuppgifter initialt på den lagliga grunden Avtal, eftersom medlemmen ingått avtal med föreningen om medlemskap.

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 

För kontospecifika uppgifter och uppgifter som personer själva kan välja att addera är laget.se att se som personuppgiftsansvarig.

Mellan ansvarig och biträdet ska det finnas ett personuppgiftsbiträdesavtal som reglerar hur biträdet ska behandla personuppgifter för den ansvariges räkning. 

Så snart ni som förening lägger till, lagrar eller raderar information som är hänförlig till en medlem, behandlas personuppgifter. Det innebär att ni behandlar personuppgifter (namn, personnummer, medlemsnummer och kontaktuppgifter) när ni lägger till medlemsinformation i medlemsregistret på laget.se. Föreningen är att se som personuppgiftsansvarig för dessa uppgifter och laget.se är personuppgiftsbiträde.

Informera mera

När ni samlar in uppgifter om en person ska ni informera personen om att ni samlar in uppgifter, vilka uppgifterna är och varför ni samlar in dem samt säkerställa att det finns en laglig grund för behandlingen.

Dokumentera

Ni är skyldiga att föra ett register som beskriver er hantering av personuppgifter. Däri ska anges vilka personuppgifter som behandlas, varför de behandlas, vilket syfte och laglig grund det stöds på.

Här nedan har vi sammanställt en förenklad lista över vad ni som förening kan börja med redan idag.

Vad innebär det för oss som förening?

Utse ombud

En person eller en tydlig kontaktväg för de personer som ni behandlar personuppgifter om för att kunna hantera incidenter, problem och ev. klagomål.

Spara mindre

Behöver ni inte längre de insamlade uppgifterna (t.ex. när en person slutar i föreningen) får ni inte heller spara dessa. Spara så få uppgifter som möjligt, under så kort tid som möjligt! En medlems personuppgifter ska även raderas om personen i fråga ber om det.

Värna om integriteten

Fundera över vilka personer som har tillgång till vilken information och anpassa åtkomsten till ens uppgifter för både digitala tjänster men även för fysiska dokument med personuppgifter som kan finnas i föreningens lokaler.

Läsa mer

Vi jobbar med att anpassa våra system och ta fram verktyg för att hjälpa er som förening. Vi kommer därför löpande informera om vilka anpassningar vi gör för att efterleva de krav som ställs på oss.

Är ni intresserade av att läsa mer redan nu finns massor med information på Internet där vi framförallt rekommenderar att läsa på Datainspektionens hemsida: 

https://www.datainspektionen.se/dataskyddsreformen/

Vad gör laget.se?

Samtyckeshantering

En stor fråga för många personuppgiftsansvariga är att administrera vilka som givit sitt samtycke till att behandla personuppgifter. Därför håller vi på att utveckla en funktion som ska hjälpa till och automatisera denna process så att det ska kunna skötas digitalt. Vi har tillsammans med en advokatbyrå tagit fram en färdig samtyckesblankett för att uppfylla de krav som ställs på er som personuppgiftsansvarig och som ni som förening kan använda er utav.