Vanliga frågor
På den här sidan har vi svarat på några av de vanligaste frågorna som Riksidrottsförbundet fått från förbund och föreningar gällande de nya bestämmelserna. Om du inte hittar svar på just din fråga går det bra att mejla till dataskydd@rf.se.
Allmänt om dataskyddsförordningen
Hur påverkar den nya lagstiftningen idrotten?
För idrotten innebär det hårdare regler kopplat till vilka personuppgifter som får behandlas och på vilket sätt personuppgifter behandlas inom en organisation. Det påverkar samtliga ställen där personuppgifter finns såsom medlemsregister, tävlingssystem, resultatlistor, licenshantering, e-post och hemsidor eller liknande.
Eftersom personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person går det således inte att göra en uttömmande lista på allt som anses vara personuppgifter. Några exempel är namn, personnummer, e-postadresser, bilder, telefonnummer och adress.
Vad finns det för stöd för idrottsföreningar och förbund?
I den uppförandekod som RF tar fram kommer föreningar och förbund att få vägledning i hur personuppgifter kan behandlas.
RF arbetar både med stöd som ska underlätta föreningars arbete med Dataskyddsförordningens regler och med anpassningar i IdrottOnline. Exempelvis tar RF fram mallar för policys kring IT- och informationssäkerhet, åtgärdsplan för personuppgiftsincident, registerförteckning, formulär för begäran av registerutdrag etc.
Vad innebär det att föreningen måste ha en laglig grund för behandling av personuppgifter?
Vad innebär det att föreningen måste ha en laglig grund för behandling av personuppgifter?
För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en laglig grund. De lagliga grunderna är avtal, uppgift av allmänt intresse, intresseavvägning, rättslig förpliktelse, skydda den registrerades grundläggande intressen, myndighetsutövning och samtycke.
Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Exempelvis måste föreningen följa de grundläggande principerna och tillvarata individens rättigheter.
Vad innebär det att föreningen självmant ska informera de registrerade?
Den registrerade har rätt att få information när vederbörandes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av föreningen både när uppgifterna samlas in och när den registrerade annars begär det. En sammanställning av vilken information som ska ges till den registrerade finns i mall för integritetspolicy under "Utbildning, stöd och mallar". I mallen kan föreningen enkelt fylla i hur föreningen behandlar personuppgifter. Integritetspolicyn bör publiceras på föreningens hemsida och länkas till i samband med svarsmejl via e-post.
Vad kan idrottsföreningarna göra?
I alla led inom idrotten behandlas personuppgifter i olika sammanhang. Redan nu bör föreningen:
- Skapa medvetenhet om Dataskyddsförordningen
Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av Dataskyddsförordningen. - Planera för implementering under 2018
Ni bör planera för att med stöd av uppförandekod och instruktioner implementera Dataskyddsförordning under 2018. - Kartlägga organisationens behandling av personuppgifter
Ni bör kartlägga vilka personuppgifter organisationen hanterar, på vilket sätt personuppgifter behandlas, vilka som har tillgång till personuppgifter samt i vilka system personuppgifter behandlas.
Hantering och publicering av bilder
Hur gör vi om vi vill fota vid en tävling/träning och inte känner alla som är där?
I alla led inom idrotten behandlas personuppgifter i olika sammanhang. Redan nu bör föreningen:
- Skapa medvetenhet om Dataskyddsförordningen
Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av Dataskyddsförordningen. - Planera för implementering under 2018
Ni bör planera för att med stöd av uppförandekod och instruktioner implementera Dataskyddsförordning under 2018. - Kartlägga organisationens behandling av personuppgifter
Ni bör kartlägga vilka personuppgifter organisationen hanterar, på vilket sätt personuppgifter behandlas, vilka som har tillgång till personuppgifter samt i vilka system personuppgifter behandlas.
Vad gäller vid bildpublicering på föreningens hemsida och sociala medier?
När det gäller publicering av material på föreningens hemsida och sociala medier sker det som utgångspunkt med stöd av en intresseavvägning. För det krävs att föreningens intresse av att publicera bilder för att exempelvis visa upp föreningens verksamhet väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bild-publicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen.
Inget material som upplevs kränkande av den som berörs av behandlingen får publiceras, varken på hemsidan eller i sociala medier. Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska detta material omedelbart avpubliceras. Detta gäller om avpublicering rimligen kan ske med hänsyn taget till föreningens organisation. När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan det vara lämpligt att inhämta samtycke från vårdnadshavare.
Mer information finns i instruktionen för behandling av ostrukturerat material på sidan Utbildning, stöd och mallar Länk till annan webbplats..
Medlemskap
Hur är det för barn och ansökan om medlemskap i förening, måste målsman godkänna för barn upp till 18 år?
Ja, inom idrottsrörelsen ingås avtal om medlemskap för personer under 18 år av vårdnadshavare. Avtalet ingås genom att vårdnadshavaren erlägger barnets medlemsavgift och därigenom accepterar villkoren för medlemskap i idrottsföreningen. Den lagliga grunden för behandling av barns personuppgifter inom ramen för medlemskap är avtal.
Krävs skriftligt godkännande av medlemsavtalet eller kan det vara muntligt?
Det krävs inget skriftligt godkännande av medlemsavtalet. Medlems ingående av avtal med föreningen sker när medlemsavgiften inbetalas till föreningens konto. Genom inbetalning av medlemsavgiften anses medlemmen ha accepterat villkoren för medlemskap i föreningen och det har uppstått ett avtal mellan medlemmen och föreningen.
Måste vi ta in samtycke från alla medlemmar?
Nej, men ni behöver ha en laglig grund för all behandling av personuppgifter. Samtycke är enbart en av flera andra lagliga grunder. Exempelvis är avtal en laglig grund för behandling av personuppgifter inom ramen för medlemskapet.
Föreningen ska enbart i undantagsfall stödja behandling av personuppgifter på samtycke. Att administrera samtyckesinhämtning, ändringar och eventuella återkallelser kan innebära en stor arbetsbörda för föreningen. Samtycke ska som utgångspunkt enbart inhämtas om det inte finns någon annan tillämplig grund för er personuppgiftsbehandling.
Tävling
Hur hanterar jag matallergier inför läger/tävlingar?
Uppgifter om allergier eller andra hälsouppgifter är att anse som känsliga personuppgifter. Se till att enbart samla in känsliga personuppgifter när det behövs och att radera uppgifterna när ändamålet med insamlingen är uppfyllt.
När det gäller uppgifter om matallergier bör enbart ledaren/ansvarig för gruppen ha tillgång till listan över personer med matallergier. När matallergier sedan ska kommuniceras till ex. en konferensanläggning/restaurang etc bör uppgifterna vara på aggregerad nivå. Dvs enbart uppgifter om exempelvis antal deltagare med gluten- eller laktosfri kost.
Måste en leverantör av tävlingssystem ha biträdesavtal med organisation som arrangerar tävling?
Om leverantören behandlar personuppgifter för tävlingsarrangörens räkning ska ett personuppgiftsbiträdesavtal upprättas. En systemleverantör behandlar som utgångspunkt personuppgifter för kundens räkning.
Mer information om personuppgiftsbiträdesavtal finns i instruktionen för personuppgiftsbiträdesavtal på sidan Utbildning, stöd och mallar Länk till annan webbplats..
Vad gäller vid publicering av resultatlistor?
Föreningen behöver informera alla registrerade innan publicering av resultatlistor sker. Resultatlistorna ska inte innehålla mer personuppgifter än vad som behövs för ändamålet med publiceringen. Exempelvis bör resultatlistor aldrig innehålla fullständiga personnummer. Om en individ begär att bli raderad från en publicerad resultatlista bör föreningen ha rutiner för att anonymisera den individens personuppgifter i resultatlistan.
Utbildning
Måste en kursanmälan ha ett godkännande av avtalet?
Statsbidragsfinansierad utbildning kan stödjas på den lagliga grunden uppgift av allmänt intresse. Att anmäla sig till och delta i en utbildning kan även ses som ett ingående/fullgörande av avtal. Om avtal eller allmänt intresse är den lagliga grunden krävs inte ett särskilt skriftligt godkännande av avtalet. Observera dock att det är den personuppgiftsansvarige som ansvarar för att informera om hur personuppgifter kommer att behandlas inom ramen för utbildningen och säkerställ att det finns en laglig grund för behandlingen.
Måste uppgifter som har getts i samband med kurs raderas efter tillfället hållits?
Det kan finnas ändamål för föreningen att spara personuppgifter även efter att ett utbildningstillfälle har genomförts. Exempelvis vid statsbidragsfinansierad utbildning finns krav på återrapportering avseende deltagartillfällen, antalet deltagare etc. Det kan också finnas ändamål kopplade till vidareutbildning, fortsättningskurser osv.
LOK-stöd
Vad gäller vid behandling av personuppgifter för LOK-stödet?
Riksidrottsförbundet (RF) är tillsammans med respektive förening gemensamt personuppgiftsansvariga för behandlingen av personuppgifter som sker inom ramen för LOK-stödet.
Föreningsadministration
Hur hanterar vi våra protokoll inom föreningen utifrån GDPR?
För protokoll bör ni kunna använda Avtal som laglig grund då de torde framgå tydligt i era stadgar. Om det inte gör det kan intresseavvägning vara tillämpningsbart.
Då föreningens behöver dokumentera sin verksamhet och tagna beslut ska protokoll fortsatt skrivas. Dock behöver ni inom föreningen fundera på hur protokoll distribuerar och publiceras. Protokoll bör t.ex. inte publiceras publikt på webben om de innehåller personuppgifter.
Inom föreningen bör ni även fundera på vilken typ av personuppgifter som anges i protokollet. Om det inte är nödvändig för beslutet bör känsliga personuppgifter inte dokumenteras. Exempel på detta kan vara att skriva mer sakliga protokoll där t.ex. anledning till att en förtroendevald avgått inte fram går utan bara information om att denne gjort det.
Lagringstiden för ett protokoll ska kopplas ihop med protokollets ändamål.
Kan vi ha kvar våra kontaktlistor till styrelse och ledare på webben?
När det gäller namn och telefonnummer kan det vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att föreningen/förbundets intresse för att publicera kontaktlistorna väger tyngre än intresset av skydd för sina personuppgifter av de personer vars uppgifter är publicerade. Detta resonemang behöver föreningen/förbundet ha dokumenterat.
Om den registrerade invänder mot att uppgifterna publiceras/kommuniceras bör ni upphöra med behandlingen.
Det är föreningen/förbundet som måste påvisa att en intresseavvägning har skett genom dokumentation och behöver säkerställa att alla registrerade individer har fått information om att de finns registrerade i informationsblad, kontaktlistor etc och varför de finns registrerade där.
Dock bör ni fundera över om ni verkligen behöver ha dessa personuppgifter ständigt publicerade på webben.
GDPR och IdrottOnline
Behöver föreningar/förbund teckna personuppgiftsbiträdesavtal för användadet av IdrottOnline?
Det behövs inte skriva några separata avtal mellan idrottsföreningar, specialidrotssförbund och RF/SISU för användandet av IdrottOnline. Detta då Datainspektionen (numera Integritetsskyddsmyndigheten) beslutat att RF, specialidrottsförbund och respektive idrottsförening är gemensamt personuppgiftsansvariga för behandlingen inom IdrottOnline.
Däremot kan det behöva tecknas avtal med externa leverantörer som hanterar era personuppgifter.
Hur påverkas funktioner i IdrottOnline av nya dataskyddsförordningen?
Arbetet med att säkerställa att Idrottonline lever upp till kraven för GDPR pågick under 2017 och 2018.
I augusti 2017 implementerades de första förändringarna inom IdrottOnline och fram till årsskiftet 2018 kommer anpassningar ha gjorts inom applikationerna Organisation, Person, Grupp, Integration och Inställningar inom IdrottOnline Administration. Utöver detta har vi även gjort anpassningar inom Idrottsmedel, Utbildning och LOK-stöd.
I maj 2018 lanserades en uppdaterad "Min Sida" för att tillvarata individens rättigheter, däribland möjlighet till registerutdrag samt portabilitet.
Vad som lanseras inom IdrottOnline går att följa på IdrottOnlines webbplats Länk till annan webbplats..
Hur stödjer IdrottOnline individens rättigheter inom GDPR?
I IdrottOnline lanserades i maj 2018 nya funktioner på Min sida för att tillgodose individens rättigheter. På min sida kan individen
- generera ett registerutdrag för uppgifter inom IdrottOnline
- exportera sina uppgifter (dataportabilitet)
- begära utträde/att bli borttagen från ett medlemsregister
- se om det finns aktiva integrationer kopplat till organisationer där individen är medlem.
- läsa om syfte och behandling som sker inom IdrottOnline (rätt till information)
Man kan själv uppdatera sina kontaktuppgifter (rätt till rättelse).
Vad gäller för personuppgifter, säkerhet och integritetsskydd inom IdrottOnline?
Inom idrottsrörelsen behandlar vi många olika typer av personuppgifter för att vardagen ska fungera.
Så här jobbar vi med säkerhet och integritet Länk till annan webbplats..
Publicerad:
Uppdaterad: