GDPR – hantering av personuppgifter
GDPR står för General Data Protection Regulation eller Dataskyddsförordningen, som vi säger på svenska. Det är en EU-lag som den 25 maj 2018 ersatte Personuppgiftslagen (PuL).
Dataskyddsförordningen påverkar vad, var och hur vi lagrar personuppgifter som vi samlar på oss, allt ifrån register som IdrottOnline, manuella dokument/filer till och med bilder.
Syftet med Dataskyddsförordningen är att ge dig och alla andra medborgare i EU ett modernare och säkrare dataskydd som är anpassat till den digitala utveckling som skett de senaste åren.
Vad kan er förening göra?
Eftersom den lagen även omfattar föreningar är det mycket viktigt att ni sätter er in i vad som gäller och därefter genomför vissa åtgärder. Här följer några tips:
1) Lär er mer och informera om Dataskyddsförordningen
Lär dig mer om vad lagen innehåller och innebär för er i en förening. På RFs/SISU Idrottsutbildarnas webbplats finns massor av information du kan ta del av. Du kan även kontakta ditt RF-/SISU-distrikt om du har frågor och/eller behöver utbildning i frågan.
LÄS MER: Lär dig mer om GDPR Länk till annan webbplats. (länk till rf.se)
Informera styrelsen och andra nyckelpersoner inom föreningen så att de blir medvetna om att personuppgiftslagen (PuL) ersätts av Dataskyddsförordningen och vad detta innebär för er.
Utse även en eller fler personer som är ansvariga för Dataskyddsförordningen inom föreningen.
2) Skapa en plan för det som behöver göras
På RFs webbplats finns olika dokument och mallar som ni kan använda för att planera och genomföra anpassningen till GDPR.
RF har tagit fram en riktigt bra arbetsbok som ni kan använda för planering och kartläggning. Använd gärna den:
LÄNK: Arbetsbok för föreningars personuppgiftshantering Länk till annan webbplats. (PDF)
3) Kartlägg hanteringen av personuppgifter
Med arbetsbokens hjälp (se länk ovan), dokumentera..
- vilka personuppgifter hanteras?
- var lagras personuppgifterna? (dokument/filer, datorsystem etc).
- hur hanteras personuppgifterna? Vem behöver ha tillgång till vad?
- varför lagras just dessa uppgifter? Behövs verkligen alla?
Riksidrottsförbundet (RF) har tagit fram stöd och mallar som underlättar föreningens arbete med Dataskyddsförordningens regler. De anpassningar även IdrottOnline så att det fungerar i enlighet med den nya lagen.
LÄNK: Information, stöd och mallar Länk till annan webbplats. (länk till RFs webbplats)
4) Skapa rutiner kring hanteringen av personuppgifter
Bestäm och dokumentera hur ni ska hantera personuppgifter. Vem behöver ha tillgång till vad? Vilken information sparas var? Hur får ni samtycke att lagra personernas uppgifter? Hur raderar ni dessa om personen ber om det? osv.
Lär dig mer
Information om hur GDPR påverkar idrotten Länk till annan webbplats., hur RF arbetar med förordningen, tekniska förändringar i IOL och vilken stöd det finns för föreningar och förbund.
- Information till föreningar och organisationer Länk till annan webbplats. (Datainspektionens webbplats)
- Vanliga frågor och svar Länk till annan webbplats. om GDPR (RFs webbplats)
Vilka är de största förändringarna?
Detta är några av skillnaderna i Dataskyddsförordningen jämfört med den gamla Personuppgiftslagen (PuL):
- De, företag eller organisationer, som behandlar personuppgifter måste vara tydliga med varför personuppgifter behandlas. Det måste även framgå vilka personuppgifter som behandlas samt hur de behandlas. Förordningen omfattar både behandling av information i datasystem och sådan information som hanteras på annat sätt, t.ex. i pappersform.
- Du får bara samla in och/eller behandla personuppgifter som uppfyller kraven i förordningen. I många fall krävs ett samtycke från personen för att du ska få behandla dennes personuppgifter. Den nya lagen ställer högre krav för hur samtycken ska behandlas.
- Det måste också finnas rutiner för hur personuppgifter behandlas. Dataskyddsförordningen ställer bland annat krav på att en organisation ska lämna ut vilka uppgifter som finns lagrade om en person, när detta efterfrågas. Individer ska kunna ha rätt att "bli glömda" dvs få sina uppgifter borttagna. En organisation som behandlar personuppgifter måste vid en incident, då data kan ha läckt ut, anmäla detta till Datainspektionen.
- Personuppgifter måste behandlas på ett säkert sätt så att de inte oavsiktligt ändras eller stjäls.
- En organisation ska kunna bevisa att man uppfyller kraven i Dataskyddsförordningen.
- Höga böter. Det är mycket viktigt att lagen följs, om en organisation bryter mot den kan mycket höga böter utdömas, max 20 miljoner Euro eller 4 procent av organisationens årsomsättning.
2022-12-08
2023-02-27
Lotte Jernberg, SSF
Victoria Moberg
victoria.moberg@skidor.com