GDPR – allmän information

Dataskyddsförordningen (även kallad GDPR efter det engelska namnet General Data Protection Regulation) började gälla den 25 maj 2018. Påverkas din klubb GDPR? Ja, det gör den! Din klubb behöver se över hur, vad och varför ni lagrar personuppgifter. Tänk på att alltid hålla er klubb uppdaterade kring GDPR för att undvika att riskera höga bötesbelopp.

Här nedan kan du se en serie filmer där Fredrik Bruno från SKKs stab förklarar vad dataskyddsförordningen innebär för SKKs medlemsklubbar.

Vilka personuppgifter hanterar ni som klubb?

Som klubb hanterar ni förmodligen en hel del personuppgifter. De uppgifter ni behandlar handlar till exempel om att en person har lämnat sina kontaktuppgifter när denne anmält sig till en kurs, en utbildning eller kanske en föreläsning. Ni tar emot och registrerar personuppgifter när någon vill teckna ett medlemskap och ni använder förmodligen medlemslistorna vid årsmöten och andra kontroller av medlemskap. Det kan även vara så att ni, som många andra, sparar deltagarlistor lite för länge, e-post med namn på personer sparas i mappar såväl som i mejlkorgen, protokoll där personer finns namngivna sparas kanske både digitalt och i pärmar.

Vad är en personuppgift?

Personuppgifter är uppgifter som kan identifiera en fysisk person.

Vad behöver ni tänka på?

Dataskyddsförordningen började gälla den 25 maj 2018. Din klubb behöver anpassa sina register och sättet att hantera uppgifter så att ni följer förordningen. Tänk också på förordningen om klubben tecknar nya samarbetsavtal med till exempel sponsorer, försäkringsbolag, tryckerier och liknande för att se om ni måste teckna biträdesavtal med dessa.

Alla klubbar inom SKK-organisationen ska följa de grundläggande reglerna och har nytta av att ha det dokumenterat.

All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bland annat att din klubb ska ha ett lagligt stöd för sin behandling av uppgifterna, till exempel att uppgifterna behövs för att kunna fullfölja ett avtal eller efter samtycke eller efter en intresseavvägning.

Viktigt att uppge ändamål

När din klubb samlar in eller tar emot personuppgifter ska klubben ange ändamålet för insamlingen och uppgifterna får sedan inte användas för ett syfte som är oförenligt med detta ändamål. Vidare ska din klubb sträva efter att minimera personuppgifterna så att de inte är för omfattande.

Din klubb är ansvarig

Det är din klubb som är personuppgiftsansvarig och som därmed ska kunna påvisa att grundläggande principer följs. Din klubb ska även ha rutiner för att rapportera säkerhets­incidenter till Datainspektionen.

Personer som är registrerade får ökade rättigheter, till exempel ska de få tydlig information när uppgifterna samlas in. Den registrerade ska få kontaktuppgifter till den personuppgifts­ansvarige samt information om ändamålen med behandlingen och den rättsliga grunden för den. De har även rätt att få felaktiga uppgifter rättade och i vissa fall även raderade eller få igenom en begränsning av behandlingen.

Höga böter om reglerna inte följs

En klubb som bryter mot reglerna riskerar att få böta med 4 % av omsättningen i administrativ sanktionsavgift. I praktiken betyder det att vid en omsättning på 100 000 kr per år kommer bötesbeloppet landa på cirka 4 000 kr. Dessutom kan enskilda personer begära skadestånd från klubbar som behandlat deras personuppgifter fel. Detta gör att alla klubbar har ett starkt incitament att arbeta bättre med frågorna om skydd för personuppgifter.

Detta gör att ni behöver se över rutiner, system och avtal för att kunna följa reglerna.

Kort sammanfattning av dataskyddsförordningen

All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bland annat att din klubb ska ha ett stöd för sin behandling av uppgifterna, till exempel avtal, samtycke eller intresseavvägning.

När din klubb samlar in personuppgifter ska klubben ange ändamålet med insamlingen. Klubben ska dessutom ha rutiner för att uppgifterna är korrekta och uppdaterade – och att felaktiga uppgifter rättas eller raderas.

Din klubb får heller inte lagra personuppgifterna längre än nödvändigt. Vidare ska klubben med lämpliga tekniska och organisatoriska åtgärder se till att personuppgifterna behandlas så att det finns ett tillräckligt skydd mot bland annat obehörig eller otillåten behandling. Din klubb är personuppgiftsansvarig och ska visa att dessa grundläggande principer följs.

Personer som är registrerade får ökade rättigheter. Man har till exempel rätt att få felaktiga uppgifter rättade och i vissa fall även raderade eller att behandlingen begränsas.

Mycket av detta känner ni säkert igen från personuppgiftslagens regler. Men många av kraven blir skarpare inom flera områden.

Integritetsskyddsmyndigheten är den svenska tillsynsmyndigheten och ni hittar mer utförlig information på www.imy.se.