EU’s Dataskyddsförordning, även känd som GDPR gjorde sin entré den 25:e maj och de flesta har redan tagit emot många emails om nya villkor, integritetspolicy och samtyckesförklaringar. Men vad betyder alla dessa nya regler egentligen för sportklubbar och föreningar? SportMember ger dig en överblick över hur din förening hanterar GDPR så att ni får kontroll över de sista detaljerna och ordnar samtycke.
Vad betyder GDPR för föreningar och klubbar?
GDPR har nu skärpt kraven för behandling av personuppgifter. Det grundläggande är att skydda de registrerade och försäkra att data inte missbrukas. Dessutom blir föreningar och sportklubbar belagda med skärpta krav och plikter av den nya lagstiftningen i förhållande till dokumentation. Det betyder alltså att föreningarna ska se till att uppgifter om föreningens behandling av personuppgifter ska vara lättillgängliga för föreningens medlemmar.
GDPR kan brytas ner i fyra punkter som är det viktigaste för föreningen och sportklubbar att vara uppmärksamma på:
1. Föreningens syfte med behandling av personuppgifter
All behandling av personuppgifter i föreningen ska ha bakgrund i en laglig grund. En laglig grund kan exempelvis vara: att uppfylla ett kontrakt med den registrerade baserat på samtycke, förpliktelse i form av lagkrav eller att följa legitimt intresse.
Det är viktigt för föreningarna att alla behandlingar av personuppgifter är baserade på en laglig grund. Föreningar kommer i de flesta fall kunna behandla vanliga uppgifter för att följa ett legitimt intresse så länge de tjänar respektive syfte. Exempelvis kommer registrering av namn och kontaktupplysningar vara baserat på ett legitimt intresse då föreningar självklart ska ha en medlemsdatabas. I gengäld ska föreningen vara uppmärksam på att det inte registreras data som inte tjänar ett specifikt syfte som exempelvis civilstatus eller jobb.
2. Förteckning över behandlingsaktiviteter (dokumentationskrav)
Föreningarna är förpliktigade till att föra en förteckning över behandlingsaktiviteter. Det betyder att föreningen ska kunna påvisa en översikt över behandlingen, som bland annat innebär vilka upplysningar behandlas, hur behandlas upplysningarna, mottagare av upplysningar, m.m.
3. Integritetspolicy (upplysningsplikten)
När GDPR har trätt i kraft är föreningen underlagt upplysningsplikt, när personuppgifter behandlas. Föreningarna kan utarbeta en integritetspolicy där föreningens medlemmar upplyses om alla aspekter av behandlingen. Integritetspolicyn ska innehålla information om vilka, hur och varför personupplysningarna behandlas samt föreningens kontaktperson för dataskydd.
4. Datasäkerhet
Föreningen ska kunna garantera en tillräcklig säkerhet med hänsyn till behandling av personuppgifter. Därutöver har föreningen i händelse av brott plikt att anmäla brott till Datainspektionen.
Föreningen som personuppgiftsansvarig
Det är viktigt för föreningarna att förstå begreppen personuppgiftsansvarig och personuppgiftsbiträde då kraven är olika. Sportklubbar och föreningar registrerar och lagrar uppgifter om deras medlemmar och är därför personuppgiftsansvarig för medlemmarna. Även om föreningen använder Sportmember.se som en extern service till att behandla er data ligger ansvaret fortfarande hos föreningen. Men vad betyder det egentligen att vara personuppgiftsansvarig?
Som personuppgiftsansvarig har föreningen bland annat ansvaret för att föreningen har lov att behandla uppgifterna, att föreningen har kapacitet att efterleva upplysningsplikten och eventuellt anmäla brott mot persondatasäkerheten till Datainspektionen. När föreningen är personuppgiftsansvarig sker behandlingen på instruktioner från den ansvariga till personuppguftsbiträdet. Det betyder samtidigt att föreningen ska ingå i ett så kallat databehandlingsavtal med leverantörer när de använder olika system till att hantera personuppgifter.
Sportmember som personuppgiftsansvarig
GDPR blev infört av EU för användarnas skull och hos Sportmember har vi full förståelse för att denna nya lagstiftning kan vara krävande för föreningarna att hantera. Hos Sportmember.se har vi försökt att göra hela processen kring GDPR så lätt för föreningen som möjligt. Vi har bland annat uppdaterat våra villkor och integritetspolicy som alla användare ska acceptera. Dessa är uppdaterade så att användarnas rättigheter kommer fram så att Sportmember.se kan fortsätta att göra vardagen för er förening så enkel som möjligt. Vi ser till att behandlingen av er data är säker så att ni tryggt kan använda Sportmember till att behandla er data.
Vägledning GDPR
När er förening ska ha koll på dokumentationen är det viktigt att få kartlagt alla behandlingar som föreningen företager sig. Att arbeta fram föreningens integritetspolicy och en förteckning över behandlingsaktiviteter kan vara ett stort arbete. Datainspektionen har utarbetat en rad vägledningar och som är användbara utarbetningar av dokumentationen. Du hittar vägledningar här.
Riksidrottsförbundet har också arbetat fram vägledningar för hur din förening hanterar personuppgifter som kan hjälpa er. Du hittar Riksidrottsförbundets vägledningar här.
FAQ
Ska vi som förening själva utarbeta ett databehandlingsavtal till Sportmember.se?
Nej. Vi på Sportmember.se har det gjort det lätt för din förening! Det ligger redan ett databehandlingsavtal klart när er förening skapar en klubb. Därför behöver er klubb eller förening inte bekymra sig om att skapa ett databehandlingsavtal. Sportmember.se arbetar med ett standardavtal, utarbetat av vår advokat och därför tar vi inte emot databehandlingsavtal från enskilda klubbar, då vi dessvärre inte har kapacitet att hantera individuella databehandlingsavtal från alla klubbar.
Kan en användare ta bort sig själv?
Sportmember.se har sett till att användarna kan ta bort sig själva.
Kan klubbadministratören ta bort användare från Sportmember.se?
Som utgångspunkt nej. Användarna äger sin egen användare. Men er klubb eller förening har möjlighet att ta bort tillhörandeförhållandet till klubben. Det betyder att ni som klubb inte längre är personuppgiftsansvariga för denna användare. Användaren kommer fortfarande vara aktiv på Sportmember och kan knytas till ett nytt lag. Sportmember blir då ansvarig för respektive användare.
GDPR chEcKLISTa
1 Kartlägg alla era behandlingar i föreningen
2 Dokumentera all behandling i en förteckning
3 Gör en synlig integritetspolicy och informera alla föreningens medlemmar
4 Ingå i databehandlingsavtal om föreningen använder andra för att hantera data
5 Peka ut en data-kontaktperson i föreningen
Vad med våra medlemmars rättigheter och vår upplysningsplikt?
Sportmember.se har sett till att villkor för användning och integritetspolicy är uppdaterade så att behandlingen av era personuppgifter för era föreningar är genomsiktliga och förståeliga. Vi informerar om syftet, om användarnas rättigheter och särskilt omkring villkoren i förhållande till borttagning så att er förening inte plötsligt står och behöver saknad data.
Sportmember.se erbjuder samtidigt en gratis hemsida där er förening kan göra er integritetspolicy lättillgänglig för alla medlemmar. Därutöver har ni också möjlighet att informera alla medlemmar genom vår kommunikation på vår Sportmember-plattform.
Sportmember försöker göra vardagen lättare för föreningarna, klubbarna och användarna varje dag och vi kommer löpande att anpassa vår plattform till att fungera så optimalt som möjligt - även i förhållande till den nya lagstiftningen. Om du har ytterligare frågor är du välkommen att kontakta oss.