Vad är GDPR?

GDPR är den nya Dataskyddsförordningen som innebär högre krav på hantering av personuppgifter.

GDPR-illustration-01

I skrivande stund är det personuppgiftslagen (PUL) som anger hur personuppgifter ska hanteras. Den 25 maj 2018 ersätts PUL av dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation) vilken kommer gälla som lag i Sverige. Dataskyddsförordningen kommer ställa högre krav på föreningens personuppgiftshantering och den som inte följer regelverket kommer att drabbas av hårdare sanktioner jämfört med vad som gäller enligt PUL.

Vi har tagit hjälp och jobbat med dessa frågor för att kunna informera och hjälpa er som förening för att ni ska kunna vara redo på bästa sätt när lagen träder i kraft den 25 maj. Även om vi har gjort vårt yttersta i att tolka den information som finns ska informationen endast ses som vägledande och för den som vill läsa mer om själva förordningen rekommenderar vi Datainspektionens hemsida, alternativt att man kontaktar ett juridisk ombud för egna tolkningar.

Riksidrottsförbundet jobbar också med denna fråga och hur det påverkar idrotten i stort och har bl.a. tagit fram en Uppförandekod som vägleder er som förening i arbetet. Här nedan här vi sammanställt länkar till digitalt material från Riksidrottsförbundet, klicka här.

Vad är en personuppgift?

En personuppgift är all slags information som kan knytas till en fysisk person som är vid liv. Exempel på typiska personuppgifter är namn, personnummer och adresser, men även fotografier, filmer, ljud och IP-adresser kan klassificeras som personuppgifter.

Vad innefattar att behandla personuppgifter?

Behandling är alla åtgärder som vidtas avseende personuppgifterna, såsom exempelvis registrering, lagring, ändring och radering av dem. 

När får man behandla personuppgifter?

Varje behandling måste ha ett berättigat syfte, som går att koppla till er verksamhet, samt en laglig grund. De vanligaste lagliga grunderna är:

1. Samtycke

2. Avtal

3. Lag

4. Intresseavvägning  

Om inget syfte finns ska heller inte informationen samlas in.

Vad har vi som förening för laglig grund till att behandla personuppgifter?

Vid registrering av medlemmar i medlemsregistret på laget.se stödjer föreningen sin behandling av personuppgifter initialt på den lagliga grunden Avtal enligt Riksidrottsförbundets uppförandekod.

För personer som inte är medlemmar i föreningen eller om ni vill vara extra säkra och få en central överblick över att ni har ett godkännande att hantera personuppgifter har ni tillgång till en kostnadsfri funktion för att skicka ut en digital förfrågan till alla eller utvalda personer i medlemsregistret och be om deras samtycke till behandling.


Hur ni som förening vill hantera detta är valfritt men vi rekommenderar, om ni inte gjort det, att läsa Riksidrottsförbundets uppförandekod.



Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 

Mellan ansvarig och biträdet ska det finnas ett personuppgiftsbiträdesavtal som reglerar hur biträdet ska behandla personuppgifter för den ansvariges räkning. 

Personuppgiftsbiträdesavtalet mellan er som förening och laget.se finns att hitta i det nya medlemsregistret.

Så snart ni som förening lägger till, lagrar eller raderar information som är hänförlig till en medlem, behandlas personuppgifter. Det innebär att ni behandlar personuppgifter (namn, personnummer, medlemsnummer och kontaktuppgifter) när ni lägger till medlemsinformation i medlemsregistret på laget.se. Föreningen är att se som personuppgiftsansvarig för dessa uppgifter och laget.se är personuppgiftsbiträde.

Vad innebär det för oss som förening?

Här nedan har vi sammanställt en förenklad lista över vad ni som förening kan börja med redan idag.

Informera mera

När ni samlar in uppgifter om en person ska ni informera personen om att ni samlar in uppgifter, vilka uppgifterna är och varför ni samlar in dem samt säkerställa att det finns en laglig grund för behandlingen.

Spara mindre

Behöver ni inte längre de insamlade uppgifterna (t.ex. när en person slutar i föreningen) får ni inte heller spara dessa. Spara så få uppgifter som möjligt, under så kort tid som möjligt! En medlems personuppgifter ska även raderas om personen i fråga ber om det.

Dokumentera

Ni är skyldiga att föra ett register som beskriver er hantering av personuppgifter. Däri ska anges vilka personuppgifter som behandlas, varför de behandlas, vilket syfte och laglig grund det stöds på.

Värna om integriteten

Fundera över vilka personer som har tillgång till vilken information och anpassa åtkomsten till ens uppgifter för både digitala tjänster men även för fysiska dokument med personuppgifter som kan finnas i föreningens lokaler.

Utse ombud

En person eller en tydlig kontaktväg för de personer som ni behandlar personuppgifter om för att kunna hantera incidenter, problem och ev. klagomål.

laget.se och GDPR

Radering, rätten att bli bortglömd

På begäran eller när en medlem inte längre är aktiv i föreningen kunna radera en persons personuppgifter i den mån det är möjligt sett till att efterleva de krav som ställs för bidragsansökningar.

Riksidrottsförbundet och GDPR

Riksidrottsförbundet har gjort mycket för att hjälpa er som förening med vad ni behöver tänka på och vilka åtgärder ni behöver vidta med hjälp av diverse manualer och checklistor.

 

Har ni inte redan läst igenom och tittat på RF:s material rekommenderar vi att ni gör detta så snart som möjligt. SISU erbjuder även webb-utbildningar som ni som förening kan anmäla er till.