Policy – Personlig integritet
Dokument som har använts som stöd i att ta fram denna policy finns som bilaga. Dokumenten är framtagna av Riksidrottsförbundet, Svenska Gymnastikförbundet och RF- SISU.
Parter och ansvar för behandlingen av dina personuppgifter
Gymnastikföreningen Gymnos, 883200–9453 är personuppgiftsansvarig för behandlingen av personuppgifter som sker inom ramen för Gymnos verksamhet.
Ansvarig för arbetet med GDPR är Gymnos styrelse. Styrelsen har dock möjlighet att delegera arbetet till särskilt utsedd medlem(mar) i föreningen. Gymnos är inte skyldig att ha ett dataskyddsombud varför vi inte har utsett någon sådan utan välkomnar frågor om personlig integritet till styrelsen.
Gymnos har som ändamål att bedriva idrottslig verksamhet i enlighet med ”Idrottsrörelsens verksamhetsidé, vision och värdegrund”.
Uppförandekod för Idrottsrörelsen
Gymnos utgår ifrån Uppförandekod för idrottsrörelsen som Riksidrottsförbundet har tagit fram för att säkerställa att föreningar följer Dataskyddsförordningen och hur denna ska tillämpas i praktiken.
Dataskyddsförordning - GDPR
De sju grundläggande principerna
1. Laglighet, skälighet och transparens
Du får i detta material ”Policy – Personlig integritet” tydlig information om var, hur, när och varför vi sparar dina personuppgifter. Huruvida Gymnos får ta del av, och spara personuppgifter beror på ändamålet. Som exempel kan nämnas att medlemskap är godkänt genom avtal och att registrera resultat är godkänt genom allmänt intresse.
2. Ändamålsbegränsning
Vi samlar endast in personuppgifter för ett specifikt användningsområde såsom exempelvis för att du ska vara registrerad i rätt träningsgrupp, när du blir ledare och behöver specifik information, när du är anmäld till en tävling eller för att du ska ha rätt försäkring.
3. Uppgiftsminimering
Vi samlar in och sparar så lite personuppgifter om dig som möjligt och alltså endast det som är viktigt för ändamålet. Exempelvis är telefon och mejl viktigt för att kunna
skicka information. Ditt personnummer skyddar vi extra noga och sparas i så stor utsträckning som möjligt endast i IdrottOnline.
4. Riktighet
5. Lagringsminimering
Uppgifter om dig sparas i maximalt 24 månader (2 år) och kan om du vill raderas när du väljer att avsluta ditt medlemskap i Gymnos.
6. Integritet och sekretess
Dina uppgifter sparas på så få ställen som möjligt för att ingen obehörig ska kunna komma åt uppgifterna. I huvudsak sparas uppgifter digital i medlemssystemet IdrottOnline som är kopplat till Riksidrottsförbundet. Utöver detta kan uppgifter i vissa fall sparas digital via Gymnos konto i OneDrive samt på hårddisk som Gymnos äger. I sällsynta fall kan personuppgifter delas med enskilda ledare eller arbetsgrupper som exempelvis inför tävlingar eller arrangemang. Personuppgifter på papper undviks i så stor utsträckning som möjligt.
7. Redovisning av efterlevnad
Gymnos eftersträvar öppenhet där det är möjligt att följa vårt arbete i hur Gymnos arbetar med frågor som är kopplade till personuppgifter. I huvudsak används denna policy ”Personlig integritet” samt eventuellt bilagor.
Varför behandlar vi dina personuppgifter?
För att Gymnos ska kunna bedriva sin verksamhet behandlas personuppgifter för olika ändamål som är kopplade till verksamheten. Gymnos behandlar personuppgifter för att administrera löpande föreningsaktiviteter (ex. träningsverksamhet och medlemsmöten), kommunicera med medlemmarna (kallelser till aktiviteter, information till målsmän med mera) samt hantera medlemsrelaterade ekonomiska transaktioner (medlemsavgifter och tävlingsavgifter med mera).
Gymnos hanterar även personuppgifter i samband med ansökan om licens till Pensum som tillhandahåller tränings- och tävlingsförsäkring samt licens för ledares utbildningsnivå till Svenska Gymnastikförbundet. Utöver behandlingen av personuppgifter vid licensansökningsprocessen behandlas personuppgifter vid tävlingstillfälle. Personuppgifterna behandlas vid anmälan till tävling, under pågående tävling och efter tävlingstillfället vid resultatrapportering. Resultat kan sparas på lång sikt då de är av allmänt intresse såsom historik för Gymnos som förening men även för Gymnastiken i Sverige och internationellt.
Gymnos behandlar även personuppgifter för att ansöka om bidrag från bland annat Riksidrottsförbundet, RF-SISU och Falu kommun.
Gymnos är personuppgiftsansvarig för behandlingen av de personuppgifter som sker vid:
• Hantering av medlemskap i Gymnos
• Föreningsadministration
• Deltagande i Gymnos träningsverksamhet
• Deltagande i Gymnos tävlingsverksamhet
• Licenshantering
• Ansökan om bidrag
• Sammanställning av statistik och uppföljning
• Utbildningar arrangerade av Gymnos
• Utbildningar arrangerade av extern organisation (Svenska Gymnastikförbundet, RF-SISU med mera)
• Kontakt med medlem
• Besök på vår hemsida
• Publicering av material på hemsida och sociala medier
Ostrukturerad Information
De personuppgifter som inte hanteras i vårt ordinarie register IdrottOnline förekommer främst via:
• E-post
• Excel
• Google-formulär
• Fysiska anteckningar
Hanteringen sker av:
• anställd personal i Gymnastikföreningen Gymnos
• styrelsemedlemmar
• medlemmar i arbetsgrupper
• ledare för gymnastikgrupper
De tre nedersta grupperna arbetar endast med personuppgifter i enstaka fall och ofta i tidsbegränsade projekt.
Personuppgifter kan finnas vid hantering av:
• Föreningsadministration (inkluderat kontakt med medlem, hantering av medlemskap, deltagande i tränings- samt tävlingsverksamhet)
• Deltagande i utbildningar
• Deltagande i arrangemang såsom tävling och uppvisningar
• Publicering i Sociala Medier och hemsida
Följande är de riktlinjer som följer i fall av ostrukturerat material där personuppgifter förekommer.
E-post
Personuppgifter ska i så liten utsträckning som möjligt förekomma i e-post. När så är fallet ska personuppgifter av vikt lyftas över till något av våra andra system som används för regelbunden hantering av personuppgifter. E-post ska därefter raderas. Personer som är i kontakt med föreningen ska uppmuntras till att inte skicka personuppgifter via e-post.
När Gymnos skickar e-post till flera mottagare som inbördes inte behöver ha kontakt med varandra ska fältet för dold kopia (bcc) användas.
I svarsmejl ska länk finnas till Gymnos integritetspolicy finnas.
Google-formulär
Formulär via Google används vid anmälningar vid avgränsade tillfällen till våra arrangemang samt löpande till medlemsansökan. Uppgifter som samlas in via formulär lyfts över till våra egna sammanställningar i Excel varpå uppgifterna i formulären raderas. Kontot via Google är kopplat till Gymnos e-postkonto hos gmail.
I information vid det formulär som används ska länk finnas till Gymnos integritetspolicy finnas.
Fysiska anteckningar
Personuppgifter som noteras på papper ska undvikas. När sådana förekommer ska dessa slängas så snart som möjligt. I förekommande fall kan informationen flyttas över till våra egna sammanställningar i Excel.
Information om hur Gymnos hanterar personuppgifter som noteras på fysiska papper ska regelbundet gå ut till aktuella personer såsom ledare i gymnastikgrupper samt deltagare i arbetsgrupper.
Excel
För att underlätta administration i samband med arrangemang och den stora förfrågan som finns för medlemskap i Gymnos samlas nödvändiga personuppgifter i Excel-ark. Denna information finns sparad i Gymnos molntjänst OneDrive-konto och delas med de personer som behöver tillgång till denna information i sitt uppdrag. När en person inte längre är aktuell för ett uppdrag tas denna person bort ifrån delningsmöjligheten. Uppgifter som inte
längre är aktuella raderas löpande av utsedd person som är kopplad till arrangemanget. Excel som hanterar medlemsansökan ligger på kansliets ansvarsområde.
Där ingen rensning har gjorts de senaste 24 månaderna av utsedd person har kansliet rätt att bedöma huruvida material bör sparas.
Hantering av bilder
Bilder på personer kan komma att publiceras på sociala medier och/eller hemsida för att informera om Xxxxxx verksamhet. Individer har rätt till information om hur bilder kan komma att användas och att de har möjlighet att invända mot detta.
När Xxxxxx publicerar bilder på barn upp till 16 år ska bild skäras i midjehöjd.
När vi publicerar bilder på vår hemsida och i våra sociala medier gör vi detta mot bakgrund av:
• Intresseavvägning (hantering av bilder utan samtycke där du bedömt och dokumenterat varför föreningens eller förbundets intressen väger tyngre än personernas som finns med på bilderna)
• Samtycke (Ett helt och hållet frivilligt ja till att ni använder bilderna – utan risk för konsekvenser om person säger nej.)
Om vi använder bakgrund för annan åtgärd såsom att skapa en bildbank, ett större marknadsföringsprojekt eller bjuder in media gr vi detta mot bakgrund av:
• Avtal (Fördelaktigt ett skriftligt avtal – exempelvis vid marknadsföringsfilm, fotografering för tryckt material etc.)
När person har invändningar mot publicerat material ska kontakt i första hand ske till Gymnos kansli.
Vilka delar vi personuppgifter med?
Personuppgifter delas i huvudsak med RF, SF, RF-SISU och Falu kommun framförallt vid ansökan om bidrag samt för deltagande i utbildning och tävlingar.
Uppgifterna kommer inte att överföras till tredje land och dina personuppgifter kommer inte att utsättas för automatiserat beslutsfattande. Om Gymnos vid något enstaka tillfälle måste dela dina personuppgifter med tredje land kommer du att informeras särskilt om detta. Det kan exempelvis vara aktuellt när/om du anmäls till tävling i tredje land.
Registerförteckning
Du kan mer detaljerat läsa om hur vi använder dina personuppgifter såsom ändamål, mottagare, lagringstid, typ av personuppgifter och vem som är ansvarig i dokumentet ”Policy
– Registerförteckning”.
Vilken laglig grund har vi för personuppgiftsbehandling?
Gymnos har nedan sammanställt den lagliga grunden för behandlingen av personuppgifter som sker inom Gymnos verksamhet. Mer detaljerad information finns i dokumentet ”Policy – Registerförteckning”.
Ändamål med behandling | Laglig grund |
Hantering av medlemskap i Gymnos | Avtal |
Föreningsadministration | Avtal |
Deltagande i Gymnos träningsverksamhet | Avtal |
Licenshantering | Avtal |
Deltagande i Gymnos tävlingsverksamhet | Avtal |
Ansökan om bidrag | Rättslig förpliktelse |
Sammanställning av statistik och uppföljning | Allmänt intresse |
Utbildningar | Allmänt intresse vid statsbidragsfinansierad utbildning, annars samtycke |
Kontakt med Gymnos | Intresseavvägning |
Besök på vår hemsida | Intresseavvägning |
Publicering av material på hemsida och sociala medier | Intresseavvägning och ibland samtycke |
Tillträdesförbud | Rättslig förpliktelse |
Ordningsstörningar och otillåten påverkan | Rättsligförpliktelse |
Hur länge sparar vi dina personuppgifter?
Gymnos kommer att genomföra en bedömning årsvis om ändamålet med behandlingen av personuppgifterna kvarstår. Om inte ändamålen med behandlingen av personuppgifterna kvarstår kommer uppgifterna att raderas. Personuppgifter sparas aldrig längre än 24 månader där det inte finns något ändamål för att spara uppgifter.
Vilka rättigheter har du?
Du som är registrerad i Gymnos har flera rättigheter som du bör känna till.
Du har rätt att få ett registerutdrag avseende Gymnos behandling av dina personuppgifter där du vid begäran får en kopia av de personuppgifter som är under behandling. För detta kan det utgå en avgift utifrån administrativa kostnader. Du kan alltid begära ett registerutdrag i IdrottOnline via Min Sida.
Du har i vissa fall även rätt till dataportabilitet av personuppgifterna vilket innebär att du får dina personuppgifter överförda till annan personuppgiftsansvarig i ett strukturellt, allmänt använt och maskinläsbart format. Även detta kan du göra i IdrottOnline via Min Sida.
Du har rätt att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifterna tills de blir ändrade.
Du har under vissa omständigheter rätt att bli raderad:
• Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
• Om behandlingen grundar sig på den enskildes samtycke och du återkallar samtycket.
• Om behandlingen sker för direktmarknadsföring och du motsätter sig att uppgifterna behandlas.
• Om du motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än dina intressen.
• Om personuppgifterna har behandlats olagligt.
• Om radering krävs för att uppfylla en rättslig skyldighet.
• Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk.
Du har också rätt att dra in ett samtycke, motsätta dig automatiskt beslutsfattande, profilering och invända mot direktmarknadsföring.
Du kan när som helst utöva dina rättigheter genom att begära tillgång till och rättelse eller radering av personuppgifter, begära begränsning av behandling eller invända mot behandling. Kontakta Gymnos via vår mejl xxxxxx@xxxxxx.xx
Vidare har du rätt att inge ett klagomål avseende Gymnos behandling av personuppgifter till Datainspektionen, besök xxx.xxxxxxxxxxxxxxxx.xx.
Information om Gymnos Policy Personlig Integritet
Information om hur Gymnos behandlar personuppgifter finns på hemsidan där av styrelsen beslutade policys finns att läsa i sin helhet.
Gymnos informerar regelbundet medlemmar om regler och rutiner för hur personuppgifter behandlas i föreningen framförallt genom interna utbildningar för ledare samt genom informationsutskick till alla medlemmar.
Gymnos styrelse ser till att rutinerna för behandling av personuppgifter hålls levande och efterlevs genom årlig utvärdering.
Personuppgiftsincidenter
En personuppgiftsincident uppstår när utomstående kommer åt personuppgifter som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter som Gymnos har registrerat. Om sådan incident inträffar ska Gymnos rapportera detta till Datainspektionen inom 72 timmar.
Vid personuppgiftsincidenter inom Gymnos används materialet ”Instruktion för åtgärdsplan
vid personuppgiftsincidenter” som är framtagen av Riksidrottsförbundet.
Säkerhetsåtgärder
Gymnos jobbar för att i så stor utsträckning som möjligt vidta åtgärder som bidrar till en säkerhetsnivå som är lämplig med beaktande av tekniska möjligheter, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga personuppgifterna är.
Alla policys och instruktioner är en sammantagen redogörelse för hur Gymnos arbetar både tekniskt och organisatoriskt med dataskydd.
Tekniska säkerhetsåtgärder i system
RF ansvarar för att de funktioner som Gymnos nyttjar i IdrottOnline efterlever kraven i dataskyddsförordningen. RF arbetar aktivt med att utveckla IdrottOnline. Exempelvis har IdrottOnline nya tekniska funktioner för att tillgodose individens rättigheter, exempelvis kan individen:
• generera ett registerutdrag för uppgifter inom IdrottOnline
• exportera sina uppgifter (dataportabilitet)
• begära utträde/att bli borttagen från ett medlemsregister
• se om det finns aktiva integrationer kopplat till organisationer där individen är medlem.
• läsa om syfte och behandling som sker inom IdrottOnline (rätt till information)
• uppdatera sina kontaktuppgifter (rätt till rättelse).
Vid användning av andra externa system är Gymnos ansvarig för att behandlingen av personuppgifter efterlever kraven i dataskyddsförordningen.
Personuppgiftsbiträden
Om Gymnos är personuppgiftsbiträde eller anlitar ett personuppgiftsbiträde ska ett skriftligt avtal tecknas för att reglera hanteringen av personuppgifter. Om detta är aktuellt används materialet ”Instruktion för personuppgiftsbiträdesavtal” som är framtagen av Riksidrottsförbundet.
Om du vill veta mer
Bilaga – dokument som använts som stöd för Gymnos Policy - Personlig integritet
GDPR – Grundprinciper från Gymnastikförbundet
Hämtat 2020-05-11
xxxxx://xxx.xxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxx-xxxxxxxxxxxxxxxxxx-xxx- foreningar/dokument/medlemskap/grundprinciper-gdpr-och-personuppgiftsbehandling.pdf
GDPR – Checklista från Gymnastikförbundet
Hämtat 2020-05-11
xxxxx://xxx.xxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxx-xxxxxxxxxxxxxxxxxx-xxx- foreningar/dokument/medlemskap/checklista-for-styrelser---uppdaterad-av- gymnastikforbundet.pdf
Behandling av personuppgifter – Uppförandekod för idrottsrörelsen från Riksidrottsförbundet
Hämtat 2020-05-11
xxxxx://xxx.xx.xx/xxxxxxxxxxxxx/000x0x0xx0x00xx0x00xx0000x0x0000/xxxxxxxxxxxxx_xxx sonuppgifter-och-gdpr.pdf
Riktlinjer för att tillvarata enskildas rättigheter
Hämtat 2020-05-13
xxxxx://xxx.xx.xx/xxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxx/xxx-xxxxxxxx/xxxxxxxxxxxxxxx-xxx- gdpr/instruktion-for-att-tillvarata-enskildas-rattigheter.pdf?w=900&h=900
Instruktion för åtgärdsplan vid personuppgiftsincidenter
Hämtat 2020-05-13
xxxxx://xxx.xx.xx/xxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxx/xxx-xxxxxxxx/xxxxxxxxxxxxxxx-xxx- gdpr/instruktion-for-atgardsplan-vid-personuppgiftsincidenter.pdf?w=900&h=900
Instruktion för behandling av ostrukturerat material
Hämtat 2020-05-13
xxxxx://xxx.xx.xx/xxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxx/xxx-xxxxxxxx/xxxxxxxxxxxxxxx-xxx- gdpr/instruktion-for-behandling-av-ostrukturerat-material.pdf?w=900&h=900
Instruktion för personuppgiftsbiträdesavtal
Hämtat 2020-05-13
xxxxx://xxx.xx.xx/xxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxx/xxx-xxxxxxxx/xxxxxxxxxxxxxxx-xxx- gdpr/instruktion-for-personuppgiftsbitradesavtal.pdf?w=900&h=900