hantering av personuppgifter för föreningsverksamheten
Föreningsverksamheter hanterar ofta personuppgifter, till exempel medlemsuppgifter, kontaktuppgifter och uppgifter kopplade till aktiviteter. När personuppgifter behandlas ansvarar föreningen för att hanteringen sker i enlighet med dataskyddsförordningen (GDPR).
På den här sidan finns övergripande information och vägledning som hjälper föreningar att se över hur personuppgifter hanteras i den egna verksamheten.
Föreningens ansvar enligt GDPR
Varje förening är personuppgiftsansvarig för de personuppgifter som behandlas inom föreningens verksamhet. Det innebär bland annat att föreningen ansvarar för att:
- personuppgifter endast behandlas för tydligt angivna och berättigade ändamål
- endast nödvändiga personuppgifter samlas in
- personuppgifter hanteras på ett korrekt sätt
- personuppgifter inte sparas längre än vad som är nödvändigt
Föreningen ska också kunna visa att behandlingen sker i enlighet med GDPR.
Inventera och dokumentera personuppgifter
Ett första steg i arbetet är att få överblick över vilka personuppgifter som behandlas i föreningen.
Det kan vara lämpligt att:
- Inventera vilka personregister som finns (t.ex. medlemsregister, e-postlistor, deltagarlistor)
- dokumentera syftet med varje register
- se över vilka uppgifter som verkligen behövs
- bestämma hur länge uppgifterna ska sparas
Föreningar som behandlar personuppgifter bör föra en registerförteckning över sin behandling i enlighet med GDPR.
Ansvar och tillgång
Det är lämpligt att utse en person eller funktion i föreningen som samordnar arbetet med personuppgifter och ser till att rutiner följs.
Endast personer som behöver tillgång till personuppgifter för sitt uppdrag bör ha tillgång till dem.
Externa parter och personuppgiftsbiträden
Om föreningen anlitar en extern part som behandlar personuppgifter för föreningens räkning (till exempel ett IT-system eller en administrativ tjänst), ska ett personuppgiftsbiträdesavtal finnas.
Alla externa parter är dock inte uppgiftsbiträden. Vissa kan vara självständigt personuppgiftsansvariga. Det är därför viktigt att bedöma vilken roll den externa parten har innan avtal tecknas.
Personuppgiftsincidenter
En personuppgiftsincident är en händelse som leder till att personuppgifter riskerar att gå förlorade, komma i orätta händer eller bli tillgängliga för obehöriga.
Om en personuppgiftsincident sannolikt innebär risk för de registrerades rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten utan onödiga dröjsmål, och, om möjligt, inom 72 timmar från det att föreningen fått vetskap om incidenten.
Om anmälan sker senare än 72 timmar ska skälen till förseningen anges. Incidenter som inte medför sådan risk behöver inte anmälas, men ska dokumenteras internt.
Medlemskap, villkor och information
Personuppgifter får behandlas när det finns en giltig rättslig grund, till exempel avtal, rättslig förpliktelse eller berättigat intresse. Samtycke används endast när det är lämpligt och uppfyller GDPR:s krav.
Medlemsvillkor och information om hur personuppgifter behandlas ska vara tydliga och tillgängliga innan medlemskap ingås eller förnyas.
Sportfiskarnas roll
Sportfiskarna tillhandahåller vägledning och stöd i personuppgiftsfrågor, men det är alltid den enskilda föreningen som ansvarar för att reglerna följs inom den egna verksamheten.
Vid osäkerhet kring tolkning eller tillämpning av GDPR kan det vara lämpligt att ta del av vägledning från Integritetsskyddsmyndigheten (IMY).
Viktig information
Informationen på denna sida är av vägledande karaktär och ersätter inte juridisk rådgivning.