SÄRÖ BÅTKLUBB OCH GDPR – SVENSKA SEGLARFÖRBUNDET
SÄRÖ BÅTKLUBB OCH GDPR – SVENSKA SEGLARFÖRBUNDET
GRUNDPRINCIPER – BEHANDLING AV PERSONUPPGIFTER
Dataskyddsförordningen består i huvudsak av sju grundprinciper som gäller för all behandling av personuppgifter. Dessa kan verka krångliga och svårtolkade, därför har Riksidrottsförbundet beskrivit i vilka sammanhang de är relevanta för idrotten.
Seglarförbundet har valt att i detta dokument, utöver de sju grundprinciperna, även informera om idrottsrörelsens uppförandekod för personuppgiftsbehandling samt datainspektionens definition av personuppgift och behandling av personuppgift.
Övergripande Uppförandekod för personuppgiftsbehandling
I samband med införandet av EU:s dataskyddsförordning (GDPR) har Riksidrottsförbundet (RF) tagit fram en uppförandekod för idrotten. Målet är att skapa en enhetlig behandling av personuppgifter inom idrottsrörelsen och att förenkla den specifika information som förbund och föreningar inom idrottsrörelsen måste känna till.
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgifter. Kategorier av personuppgifter kan variera, men exempelvis namn, kontaktuppgifter, personnummer, uppgifter om medlemskap eller konto- och betalningsinformation. Även bilder (foton & filmer) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Vad räknas som behandling av personuppgifter? Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. GDPR gäller oavsett om behandlingen är digital eller på papper.
De sju grundprinciperna
1. Laglighet, skälighet och transparens; Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den person som registreras. För idrottsrörelsen betyder det att varje typ av behandling ska baseras på en giltig laglig grund, till exempel att det finns ett avtal eller att uppgiften är av allmänt intresse. Det är också viktigt att vara tydlig och transparent med alla inblandade om när, hur och var man lagrar eller använder personuppgifter.
2. Ändamålsbegränsning; Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare plötsligt behandlas på något annat vis. Det innebär exempelvis att personuppgifter som samlas in för ändamålet anmälan till tävling inte i ett senare
skede får behandlas för direkt marknadsföring. Om personuppgifterna ska behandlas för andra ändamål krävs att individen har fått information om det och att det finns en laglig grund för ytterligare behandling.
3. Uppgiftsminimering; Personuppgifter som behandlas inom idrottsrörelsen ska vara rimliga, relevanta och inte onödigt detaljerade i förhållande till vad de är till för. Konkret innebär uppgiftsminimering att idrottsrörelsen inte ska samla in mer uppgifter än vad som behövs för ändamålet med behandlingen.
4. Riktighet; Personuppgifter som behandlas inom idrottsrörelsen ska vara korrekta och uppdaterade, om nödvändigt. Det innebär att den som behandlar personuppgifter måste vidta rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål, exempelvis när den registrerade begär rättelse av felaktiga personuppgifter.
5. Lagringsbegränsning; Personuppgifter får inte lagras längre än nödvändigt. När de inte längre behövs ska de antingen raderas eller avidentifieras. Uppgifter får inte sparas för att "de är bra att ha". Uppgifter om tidigare medlemmar får sparas upp till 24 månader, för att ge möjlighet att värva tillbaka denne.
6. Integritet och sekretess; Personuppgifter ska inom idrottsrörelsen alltid lagras på ett säkert sätt och förbund och föreningar bör införa en del saker för att säkerställa det. Det innefattar bland annat en rad krav på tekniska säkerhetsåtgärder, som du kan läsa mer om i ”Uppförandekod för idrottsrörelsen – behandling av personuppgifter”.
7. "Accountability" - Redovisande av efterlevnad; Alla förbund och föreningar ska löpande dokumentera sitt arbete med en säker hantering av personuppgifter. Dessa ska också föra register över vilka, var och på vilket sätt personuppgifter hanteras inom organisationen och kunna visa upp det vid behov.
Checklista för föreningar
Det finns många sätt att bedriva ett arbete för att uppnå det som krävs i Dataskyddsförordningen.
Det här är ett förslag på ett minimum av aktiviteter i en förening för ett sådant arbete.
• Information till styrelsen.
• Utse en ansvarig person för det GDPR-arbete som föreningen behöver göra.
• Utbildning och information till ansvarig person.
• Ta ställning till om extern hjälp behövs. Många IT-företag och juristfirmor tillhandahåller tjänster inom området.
• Upprätta en plan för GDPR-arbetet.
• Kartlägg all hantering av personuppgifter som används inom föreningen – hur ser stöd ut i olika system för att föreningen ska upprätthålla det GDPR kräver.
• Definiera de rutiner som krävs inom föreningen enligt GDPR.
• Se till att det finns laglig grund, samtycke eller annan laglig grund, för att lagra personuppgifter för medlemmar och andra person.
• Utbilda alla personer som kommer hantera personuppgifter i föreningen
GDPR–POLICY FÖR SÄRÖ BÅTKLUBB
Ni har säkert hört talas om GDPR vars syfte ju är att stärka individens rättigheter kring sina uppgifter. För alla medlemmars information vill vi informera er om att SBK följer rekommendationer från Svenska Seglarförbundet avs. hur persondata hanteras, lagras, revideras och eventuellt raderas.
SBK tar endast in personinformation som är nödvändig för att bedriva vår idrottsliga verksamhet (som medlemsregister), information som krävs av oss för att vi ska få bidrag för vår verksamhet (som personnummer för Seglarskola och Torsdagsseglingar) och med krav från myndigheter (som löneinformation för instruktörer till Skatteverket).
• SBK säkrar att Ingen tredjehands överföring sker av något informationsmaterial
• Mottagare: Som utgångspunkt inga mottagare som är 3:e part i förhållande till den registrerade. SBK tillhandahåller inte aktivt personuppgifter till externa mottagare via e-post
• Den som deltar i klubbrelaterade aktiviteter godkänner publicering av bilder från dessa i våra forum – såsom sociala medier
• Lagringstiden är ca 2 år – information gallras därefter, såvida person/familj inte fortsätter vara SBK-medlemmar
• All personinformation lagras i säkra datakällor av ett fåtal personer i styrelsen
Särö i maj 2018 Styrelsen i SBK