Svenska Motorcykel- och Snöskoterförbundet
Svenska Motorcykel- och Snöskoterförbundet
Tillbaka Skriv ut
GDPR

GDPR för idrottsförening i Svemo

Den 25:e maj 2018 införs den nya dataskyddsförordningen och detta ska ses som startskottet för ett arbete som kommer fortlöpa under lång tid.

http://rf.se/Personuppgifter så finns mer omfattade dokumentation, utbildning och mallar. Här finns också fullständiga instruktioner om hur ni som förening efterlever dataskyddsförordningen.

För idrottsföreningar finns en checklista på: http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/checklista-for-styrelsen.pdf

Gå igenom checklistan och se till att ni som idrottsförening snarast är i fas med punkterna på listan.

För att underlätta arbetet för er som förening har RF publicerat en arbetsbok för er på:
http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/arbetsbok_for_foreningars_personuppgiftshantering.pdf

 

Att göra inför införandet av dataskyddsförordningen

1.     Se till så att styrelsen är insatt i arbetet med dataskyddsförordningen.

2.     Utse minst 1 person som är ansvarig för att arbetet genomförs och sköts kontinuerligt för varje register.

3.     Kartlägg och bestäm vad personuppgifterna ska användas till.

4.     Upprätta en registerförteckning enligt mall: http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/mall-for-registerforteckning.docx

5.     Gå igenom era register och se till så att de personer som inte längre är med i er förening raderas och se till så att de uppgifter som finns i registret är uppdaterade.

6.     Se till att ni har rutiner för att kontinuerligt uppdatera era register så att alla ändringar görs så snart det är möjligt.

7.     Upprätta eventuella personuppgiftsbiträdesavtal med externa leverantörer. Detta behöver normalt inte göras mot IdrottOnline eller Svemo då Svemo kansli har gemensamt personuppgiftsansvar.

Att göra löpande efter införandet av dataskyddsförordningen

1.     Informera de personer som du samlar in uppgifter för. Avsiktsförklaring måste ges till person och godkännande från person måste ges. Vid medlemskap i förening är den lagliga grunden ’Avtal’ och då anses godkännandet ges vid betalning av medlemsavgiften.

2.     Håll era register uppdaterade.

3.     Se till så att ni som idrottsförening har laglig grund och avtal om så krävs för behandling av personuppgifter i nya register. Upprätta även avsiktsförklaring och se till så att även dessa register finns med i registerförteckningen.

4.     Vid publicering av personuppgifter se till att ni som idrottsförening har samtycke från samtliga personer och/eller annan laglig grund för publicering av uppgifterna.

5.     Se till att personuppgifter inte sprids till obehörig.

6.     Vid incident, rapportera till korrekt enhet omedelbart med fullständig information.

 

Vad är en personuppgift?
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

En personuppgift är all slags information som kan kopplas till en enskild individ. Det innebär att till exempel namn, personnummer och adress är personuppgifter.

 

Laglig grund och avsiktsförklaring
Alla register eller verktyg som organisationen använder för att spara eller behandla personuppgifter måste kopplas till en laglig grund samt inneha en avsiktsförklaring för registret. Avsiktsförklaringen ska finnas tillgänglig i samband eller innan registrering så att den registrerade förstår anledningen till behandlingen av personuppgifterna. 

Avsiktsförklaringen eller ”ändamålet för behandling” ska skrivas upp i registerförteckningen ”Register över register”.

Med laglig grund så menas det lagstöd som kan kopplas till en giltig hantering av personuppgifter. Alla register måste kunna knytas till minst 1 laglig grund för behandling av personuppgifterna.

Avsiktsförklaringen är det som beskriver avsikten eller ändamålet för behandlingen av uppgifterna i registret.

Mer information om laglig grund för behandling av personuppgifter kan hittas på sidorna 10–13 i ”Uppförandekod och personuppgifter”
http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/uppforandekod_personuppgifter-och-gdpr.pdf

Mer information avsiktsförklaring se
http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/mall-for-integritetspolicy.docx

 

Strukturerat och ostrukturerat material
Strukturerat material är personuppgifter som förekommer i traditionella dataregister så som databaser och ärendehanteringssystem. För att hantera strukturerat material så krävs det att man följer dataskyddsförordningen och då de rättigheter som enskilda individer har enligt dataskyddsförordningen.

Ostrukturerat material är personuppgifter som förekommer ostrukturerat och med det så menar man personuppgifter som förekommer i t.ex. ordbehandlingsprogram, löpande text på internet som ex. sociala medier, ljud och bildupptagningar samt epost.

Mer information om rättigheterna finns under varje register i detta dokument och mer information till er som vill veta mera finns på
http://www.rf.se/Personuppgifter/enskildasrattigheter/

 

Register över register, registerförteckning
Vad är ett register? Ett register är ett dokument, databas eller fysiska pappersdokument som innehåller uppgifter som kan identifiera en enskild eller flera individer.

Enligt dataskyddsförordningen så finns numera som krav att man som organisation måste ha en registerförteckning och detta är ett elektroniskt dokument där man listar alla register som den egna organisationen använder och på begäran ska detta dokument överlämnas till Datainspektionen.

Registerförteckningen ska innehålla följande information

·         Ev. gemensamt personuppgiftsansvarig

·         Ev. Dataskyddsombud

·         Ändamål med behandling

·         Kategorier av personuppgifter

·         Mottagare

·         Tredjelandsöverföring m.m.

·         Lagringstid

Vid frågor om mallarna eller annat material på rf.se/Personuppgifter var god kontakta dataskydd@rf.se

 

Personuppgiftsansvarig (PUA) och Personuppgiftsbiträde (PUB)
Personuppgiftsansvarig är den juridiska person (förening) behandlar personuppgifter i sin verksamhet och som bestämmer vilka personuppgifter som ska behandlas och vad de ska användas till. Det är alltså inte en enskild individ i förening som har juridiskt ansvar för personuppgiftshanteringen.

Personuppgiftsbiträde finns alltid utanför den egna organisationen. Ett personuppgiftsbiträde är en organisation, individ eller annan enhet som behandlar personuppgifter på uppdrag av personuppgiftsansvarig. För att behandlingen ska vara giltig så måste det upprättas ett skriftligt avtal.

För mer information om Personuppgiftsbiträdesavtal se http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/instruktion-for-personuppgiftsbitradesavtal.pdf

 

IdrottOnline
IdrottOnline innehar ett flertal applikationer och det är på RF:s ansvar att dessa verktyg efterlever principerna och rättigheterna enligt dataskyddsförordningen.

Det är ni som idrottsförening som ansvarar för att ert medlemsregister är uppdaterat och att ni som idrottsförening lever upp till de enskilda individernas rättigheter.

Texten nedan är hämtad från rf.se/Personuppgifter och härmed säger man att RF tar ansvar för att systemen som de erbjuder uppfyller samtliga krav för dataskyddsförordningen förutsatt att man efterlever de enskilda individernas rättigheter.

”RF ansvarar för att de funktioner som föreningen nyttjar i IdrottOnline efterlever kraven i dataskyddsförordningen. RF arbetar aktivt med att utveckla IdrottOnline. Exempelvis har IdrottOnline nya tekniska funktioner för att tillgodose individens rättigheter, exempelvis kan individen:

·         Generera ett registerutdrag för uppgifter inom IdrottOnline

·         Exportera sina uppgifter (dataportabilitet)

·         Begära utträde/att bli borttagen från ett medlemsregister

·         Se om det finns aktiva integrationer kopplat till organisationer där individen är medlem.

·         Läsa om syfte och behandling som sker inom IdrottOnline (rätt till information).

·         Uppdatera sina kontaktuppgifter (rätt till rättelse).”

På förfrågan om radering så ur ert medlemsregister ska en skriftlig ansökan skickas in via post eller digitalt till er på föreningen. Därefter ska ni som idrottsförening avgöra om personen har rätt att bli raderad och sedan utföra raderingen om raderingen är giltig.

För mer information om hur RF tar ansvar för de egna applikationerna för t.ex. LOK-stöd och utbildningsmodulen se:

http://rf.se/Personuppgifter

Laglig grund för behandling av medlemsregister i IdrottOnline är uppgift av allmänt intresse, avtal och rättslig förpliktelse.

Ändamål för behandlingen av personuppgifter i medlemsregistret är att kunna bedriva föreningsverksamhet.


Protokoll och föreningsdokument
Som förening får man spara protokoll och andra föreningsdokument för historiskt och statistiskt syfte. Se till att personerna som finns med i dessa dokument är medvetna om att deras uppgifter kommer att finnas med på tillsvidarebasis.

Vid begäran av radering från dessa dokument så får ni som idrottsförening neka eftersom det finns undantag för radering av historiska och statistiska skäl.

 

ProvaPå-licenser
ProvaPå-licenser som är utfärdade av Svemo ska sparas i pappersformat i 12 månader från det att licensen köps och utnyttjas av förare. Uppgifterna på ProvaPå-licensen måste sparas i syfte att tillhandahålla information till Svemo och försäkringsbolaget på förfrågan. Se till så att personer som köper ProvaPå-licenser är medvetna om att deras uppgifter sparas i 12 månader och att de ger samtycke till detta. När 12 månader har passerat så ska ProvaPå-licenserna förstöras på sådant sätt att det inte längre går att få fram dessa uppgifter.

Laglig grund för behandling av ProvaPå-licenser är samtycke. Utan samtycke bör ni som idrottsförening neka personer att delta i ProvaPå aktiviteten.

Avsikten för detta är för att eventuellt ge informationen vidare till försäkringsbolaget och Svemo vid försäkringsreglering.

 

Personuppgifter från träningsverksamhet och övrig verksamhet
Vid insamlingen av personuppgifter för träningsverksamhet eller övrig verksamhet där insamling är lämplig bör man radera dessa uppgifter 30 dagar efter att man samlat in dem. Som förening får ni som idrottsförening anonymisera och spara dessa uppgifter i syfte att föra statistik. Med anonymisering så menas att man tar eller byter ut all information som kan kopplas till en individ.

Laglig grund för detta är samtycke och ni bör informera samtliga som tränar på er bana att deras uppgifter kommer att sparas i detta register under utsatt tidsperiod. Utan samtycke så har ni som idrottsförening rätt att neka personer att delta i aktiviteten.

Exempel på avsikt kan vara eventuell försäkringsreglering och statistik.

 

Arkiv
Som idrottsförening får ni spara personuppgifter i arkiv om dessa register har en laglig grund och en avsikt. Ni som idrottsförening får neka radering från dessa register om personuppgifterna finns med av historiska eller statistiska skäl.

Laglig grund är uppgift av allmänt intresse och syftet är historik och statistik.

 

Epost
Om personuppgifter inkommer via epost så ska eposten raderas direkt efter det att personuppgiften blivit hanterad och inlagd i rätt system. Man ska inte spara personuppgifter i epost längre än absolut nödvändigt.

Med utgående personuppgifter ska organisationen minimera personuppgifter så långt det går och inte skicka epost med unika identifierare som t.ex. personnummer. Även andra personuppgifter ska minimeras och helst uteslutas ur epost.

Mer information om hur epost ska hanteras kan finns på punkt 6 http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/instruktion-for-behandling-av-ostrukturerat-material.pdf

 

Sociala medier
Personuppgifter får endast publiceras om det finns ett samtycke från samtliga som kan kopplas till det publicerade materialet. Utöver detta så ska inte personuppgifter spridas utan laglig grund och tydlig avsikt.

 

Underhåll av register
Se till så att ni som idrottsförening inte sparar uppgifter för en individ längre än vad som är nödvändigt för syftet med behandlingen av personuppgifterna. Detta betyder att man kontinuerligt i det dagliga arbetet med föreningen gör alla ändringar så snart man kan och går igenom sina register och ser till att de alltid är uppdaterade och att personuppgifter som inte längre behövs till något specifikt syfte raderas.

 

Incidenthantering och skyldighet att rapportera personuppgiftsincidenter
Om ni som idrottsförening upptäcker att ni har blivit av med personuppgifter eller att personuppgifter har hanterats på ett inkorrekt sätt och på grund av det hamnat i fel händer, kontakta dataskydd@rf.se och dataskydd@svemo.se med fullständiga uppgifter om incidenten samt vilket register det avser.

För mer information om hur ni som idrottsförening hanterar en personuppgiftsincident se

http://www.rf.se/globalassets/riksidrottsforbundet/dokument/personuppgifter-och-gdpr/instruktion-for-atgardsplan-vid-personuppgiftsincidenter.pdf

 

 


Uppdaterad: 2018-05-08 10:15
Skribent: John Lundberg
Epost: john.lundberg@svemo.se

Första helgen i april genomfördes en träffpunkt med distrikten för att diskutera organisationsutredningen.

2017-04-11

Framgång inom en idrott mäts ofta i medaljer eller andra sportsliga framgångar. Det må vara vad allmänheten uppskattar och värderar, men för ett förbund är det andra faktorer som avgör hur väl man lyckas. Eftersom det är fakta som sällan når utanför den inre kretsen, finns det därför anledning att i denna krönika berätta om den framgångsresa som Svemo (Svenska Motorcykel- och Snöskoterförbundet) befinner sig på.

2017-10-05

Klockan 20:00 17/4 på Kanal 5 får ni följa Jonathans historia om att vara påväg att bli elitidrottare i enduro och plötsligt kraschar som dessvärre leder till förlamning.

2017-04-17


FIM
FIM Europe
Riksidrottsförbundet
SISU
SMC
NMC
Samarbetspartner

If
Intersport
HUAros
Accessdata
KONTAKTA OSS: kansli@svemo.se 011-231080 Sprängstensgatan 2 Box 2314 600 02 Norrköping