Bakgrund
Den 25:e maj 2018 börjar dataskyddsförordningen (GDPR) att gälla och ersätter personuppgiftslagen (PUL) vilket ger dina personuppgifter ett ännu starkare skydd. Vi förstår vikten av sekretess och integritet för medlemmarna och har därmed tagit fram en policy för vår hantering av personuppgifter som därmed säkerställer att föreningen hanterar personuppgifter enligt Dataskyddsförordningen.
Hantering av personuppgifter
Vårt ändamål är att bedriva idrottslig verksamhet. De personuppgifter föreningen behandlar inom ramen för verksamheten är medlemmarnas personnummer, namn, adress, telefonnummer, bild och e-postadress. Är medlemmen under 18 år så behandlas uppgifter även till målsman som väljer att lämna namn, adress, telefonnummer och e-postadress.
Ändamål med hanteringen
Föreningen använder och lagrar personuppgifter enligt ovan om föreningsmedlemmar. Syftet med detta är i första hand att kunna:
· Hantera medlemskapet i föreningen
· Hantera föreningsadministrationen
· Hantera föreningens träningsverksamhet
· Hantera föreningens tävlingsverksamhet
· Hantera licenser och försäkringar
· Ansöka om statliga och kommunala bidrag
· Sammanställa statistik och uppföljning
· Kontakta medlem och anhöriga
Ansvar för hantering av information
Föreningen ansvarar för hanteringen av personuppgifter så som beskrivits ovan och är därmed Personuppgiftsansvariga i Dataskyddsförordningens mening. Föreningen delger inga uppgifter till annan part än vad som krävs för att kunna fullgöra föreningsverksamheten med undantag för myndigheter som enligt lag har rätt till viss information.
Personuppgifter kommer inte att användas i någon form av marknadsföringssyfte, reklam, automatiserat beslutsfattande eller profilering. Föreningen använder strikt sekretess vad gäller hantering av personuppgifter.
Underleverantör av personuppgifter
För att kunna bedriva verksamheten köper föreningen tjänster från underleverantörer som använder personuppgifter på uppdrag av föreningen (personuppgiftsbiträden). Exempel på sådana tjänster är Sportadmin och IdrottOnline som tillhandahåller ett system för medlemsregister och fakturering, och Pensum som tillhandahåller försäkring åt alla cheerleaders. Pensum, IdrottOnline och SportAdmin är godkända underleverantörer av Svenska Cheerleading Förbundet (SCF).
Ett Personuppgiftsbiträdesavtal tecknas med varje sådan underleverantör som behandlar personuppgifter för föreningens räkning och i dessa regleras bland annat informationssäkerhet och sekretess. Det ställs även krav på personuppgiftsbiträdena att försäkra föreningen att hanteringen sker enligt Dataskyddsförordningen och att föreningen erhåller information och i övrigt ges möjlighet att följa uppställda krav som åligger personuppgiftsansvarig.
Laglig grund
Föreningens lagliga grund för att hantera personuppgifter baseras till största del på det avtal som sluts mellan föreningen och medlemmen i och med medlemskapet. Denna grund för behandling av personuppgifter kvarstår så långt som medlemmen är medlem och för en tid därefter för att fortsatt kunna uppfylla åtaganden som följer av medlemskapet eller om medlemmen har förfallna fakturor, tills dessa är betalda. Förutom avtal som grund för hantering av personuppgifter kommer föreningen på grund av tvingande lagstiftning även att behandla personuppgifter med anledning av rättsliga förpliktelser som tillkommer föreningen. Detta gäller i första hand Bokföringslagen, som bl.a. kräver spårbarhet för ekonomiska transaktioner i minst 7 år och Lagen om ekonomiska föreningar, som bl.a. kräver att föreningen registrerar och sköter medlemsregister.
Föreningen lagrar inte personuppgifter längre tid än vad som krävs för att utföra föreningsverksamhet och enligt lag. Så snart föreningen saknar ändamål eller laglig grund för hantering raderas personuppgifterna ur föreningens register.
Rättigheter enligt dataskyddsförordningen
En medlem kan när som helst ta del av den information som finns registrerad om den, vilken laglig grund som behandlingen grundar sig på och hur länge som personuppgifterna kommer att behandlas, genom att ansöka om att få ett registerutdrag över den information som finns lagrad.
Åtgärder vid personuppgiftsincidenter
Vid incident ska detta rapportera till Datainspektionen utan dröjsmål och senast inom 72 timmar från att incidenten upptäckts.
Klagomål
Klagomål rörande hantering av personuppgifter kan göras hos Datainspektionen (Dataintegritetsmyndigheten).
Datainspektionen
Box 8114
104 20 Stockholm
+46 (0)8-567 61 00
datainspektionen@datainspektionen.se