GDPR
Från 25 maj 2018 gäller EU:s nya dataskyddsförordning (GDPR) som innebär ett stärkt skydd för enskildas personliga integritet och ställer hårdare krav på hur personuppgifter får behandlas.
Korpen Västerås MIF behandlar många olika typer av personuppgifter för att vardagen ska fungera. En grundregel är att vi inom idrottsrörelsen aldrig kan äga våra medlemmars personuppgifter – vi lånar dem.
Inom idrottsrörelsen behandlar vi en stor mängd personuppgifter, alltså uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person. De används bland annat till att hålla ordning i medlemsregister, fördela ekonomiska stöd eller arrangera tävlingar.
Det finns dock särskilda regler för hur dessa uppgifter ska hanteras på ett tryggt och säkert sätt. I slutändan handlar det om att skydda enskilda personers rättigheter. För att behålla människors förtroende är det viktigt att hela idrottsrörelsen följer de regler som finns.
Dataskyddsförordningen består i huvudsak av sju grundprinciper som gäller för all behandling av personuppgifter. Du kan läsa mer om dessa nedan.
Grundprinciper
Dataskyddsförordningen består i huvudsak av sju grundprinciper som gäller för all behandling av personuppgifter. Dessa kan verka krångliga och svårtolkade, därför har RF beskrivit i vilka sammanhang de är relevanta för idrotten.
Laglighet, skälighet och transparens
Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den person som registreras. För idrottsrörelsen betyder det att varje typ av behandling ska baseras på en giltig laglig grund, till exempel att det finns ett avtal eller att uppgiften är av allmänt intresse. Läs mer om laglig grund i uppförandekoden.
Det är också viktigt att vara tydlig och transparent med alla inblandade om när, hur och var man lagrar eller använder personuppgifter.
Ändamålsbegränsning
Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare plötsligt behandlas på något annat vis. Det innebär exempelvis att personuppgifter som samlas in för ändamålet anmälan till tävling inte i ett senare skede får behandlas för direkt marknadsföring. Om personuppgifterna ska behandlas för andra ändamål krävs att individen har fått information om det och att det finns en laglig grund för ytterligare behandling.
Uppgiftsminimering
Personuppgifter som behandlas inom idrottsrörelsen ska vara rimliga, relevanta och inte onödigt detaljerade i förhållande till vad de är till för. Konkret innebär uppgiftsminimering att idrottsrörelsen inte ska samla in mer uppgifter än vad som behövs för ändamålet med behandlingen.
Riktighet
Personuppgifter som behandlas inom idrottsrörelsen ska vara korrekta och uppdaterade, om nödvändigt. Det innebär att den som behandlar personuppgifter måste vidta rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål, exempelvis när den registrerade begär rättelse av felaktiga personuppgifter.
Lagringsbegränsning
Personuppgifter får inte lagras längre än nödvändigt. När de inte längre behövs ska de antingen raderas eller avidentifieras. Uppgifter får inte sparas för att "de är bra att ha". Uppgifter om tidigare medlemmar får sparas upp till 24 månader, för att ge möjlighet att värva tillbaka denne.
Integritet och sekretess
Personuppgifter ska inom idrottsrörelsen alltid lagras på ett säkert sätt och förbund och föreningar bör införa en del saker för att säkerställa det. Det innefattar bland annat en rad krav på tekniska säkerhetsåtgärder, som du kan läsa mer om i koden.
"Accountability" - Redovisande av efterlevnad
Alla förbund och föreningar ska löpande dokumentera sitt arbete med en säker hantering av personuppgifter. Dessa ska också föra register över vilka, var och på vilket sätt personuppgifter hanteras inom organisationen och kunna visa upp det vid behov.