GDPR – frågor & svar
Nedan följer svar på några grundläggande frågor om dataskyddsdirektivet och personuppgifter samt tips om hur ni kan sätta igång arbetet med förordningen i er klubb.
Vad är en personuppgift?
En personuppgift är varje upplysning som kan identifiera en fysisk person. Exempel är personnummer, namn, adress, bild, mobilnummer, e-postadress etc.
Vad menas med behandling av personuppgifter?
Med behandling av personuppgifter menas alla åtgärder som vidtas i fråga om personuppgifter, exempelvis:
- insamling
- registrering
- lagring
- bearbetning
- spridning
- samkörning
- radering
Exempel på var klubbar lagrar personuppgifter:
- deltagarlistor för kurser, utbildningar, föreläsningar, årsmöten – både digitala och i pappersform
- medlemslistor
- resultatlistor
- funktionärslistor
- prov- och tävlingssystem
- hemsida
- protokoll
- e-post
- molntjänster till exempel Google Drive, Dropbox etc.
Vad kan klubben behöva göra?
Skaffa kunskap
Hur? Ta del av information som SKKs kansli fortlöpande skickar ut i form av nyhetsbrev och informationsfilmer. Fördjupa dina kunskaper hos Integritetsskyddsmyndigheten, IMY.
Inventera befintliga register
- Var sparas personuppgifter idag?
- Behövs alla? Passa på att rensa.
- Har ni en arkivplan? Behöver allt sparas den tid som en gång bestämdes?
Dokumentera vilka register som finns och gör registerförteckningar, använd med fördel den mall som SKKs kansli tagit fram.
Upprätta registerförteckningar över behandlingarna
En viktig del i den nya förordningen är att man måste kunna visa på vilka personregister man för. Skapa därför registerförteckningar och spara dessa där ni med enkelhet kan finna dem, förslagsvis i en molntjänst som inte berörs på samma sätt som om information ligger på en fast klubbdator.
SKKs kansli har tagit fram en registerförteckningsmall som ni mer än gärna får använda.
Anpassa klubbens IT system
Har ni IT system som måste anpassas? Kanske en funktion för att lämna samtycke eller godkänna ett avtal som medger att ni får behandla personuppgifterna på det sätt som ni har angivit?
Har ni rutiner för hur ni på ett enkelt sätt kan ta fram vad som finns registrerat på en person om denne begär ut dessa uppgifter?
Finns möjligheten att radera en person ur era register?
Anpassa blanketter och formulär
Framgår det tydligt vad ändamålet med insamlingen är?
Behövs ett samtycke? Har ni stöd för att lämna ett samtycke till att behandla ens personuppgifter? Det skulle exempelvis kunna ske genom att man måste läsa villkoren och sedan kryssa i att man läst, förstått och godkänt dem. Samtycke kan exempelvis behövas ifall ni har samarbete med försäkringsbolag som marknadsför sig direkt mot medlemmen.
Om inte samtycke är nödvändigt är det förmodligen ett avtal, som väger tyngre. Det betyder att man inte behöver personens samtycke eftersom det är nödvändigt att lämna ifrån sig sina personuppgifter för att till exempel kunna delta på en kurs, vara medlem, komma på ett årsmöte etc.
Även intresseavvägning kan utgöra grund för laglig behandling av en personuppgift. Om en person säger upp sitt avtal om medlemskap efter en anmälan till SKKs Disciplinnämnd har klubben ändå rätt att behålla i sitt register, eftersom klubbens intresse av vetskap om utträdet väger tyngre än den före detta medlemmens vilja att bli raderad ur registret.
Oavsett samtycke, avtal eller intresseavvägning måste man informera om hur behandlingen sker. SKK har tagit fram ett utkast på ett textförslag som klubbarna kan utgå från.
Se över eventuella samarbetsavtal
Behöver det tecknas ett biträdesavtal med samarbetspartners som till exempel en sponsor eller ett tryckeri? Ett avtal kan behövas i de fall ni lämnar ut ett adressregister till ett försäkringsbolag som skickar ut erbjudanden till medlemmar eller till ett tryckeri som trycker och skickar er medlemstidning.
Se över rutiner vid dataintrång
I dataförordningen finns angivet att man måste ha en rutin för hur man hanterar ifall någon gör ett dataintrång. Inom 72 timmar måste den personuppgiftsansvarige lämna meddelande om intrånget till Integritetsskyddsmyndigheten.
För mer information, se Integritetsskyddsmyndigheten, IMY.
SKKs medlemsadministration
Finns det inget sätt att komma runt den nya Dataskyddsförordningen?
Nej, så länge man behandlar personuppgifter så bär man ett ansvar. Däremot så kan det komma att bli lite enklare att ha struktur och ordning över just medlemsregistret ifall man överlåter administrationen till SKKs kansli. Ett krav är t.ex. att personuppgifterna ska vara aktuella och vi uppdaterar varje månad alla personposter via Bisnode (SPAR). Vill ni veta mer och kanske be om en offert är ni välkomna att höra av er till Helena Nyberg, chef för medlemsregistret, heny@skk.se.