Så börjar ni arbetet:
1. Leta information
På denna sida finns sammanfattad information samt en handbok för hur föreningar kan arbeta med anpassningen till GDPR. På Datainspektionens webbsida finns det också information om den nya förordningen.
2. Utse en ansvarig
Utse en person eller grupp i organisationen som är ansvarig för att sätta sig in i frågorna och börja läsa på. Ansvarig för GDPR i organisationen kan också vara den som ser till att nya funktionärer eller förtroendevalda får information om GDPR och er hantering av den.
3. Gör en inventering av register
Genom att se över vilka personregister er organisation har, får ni en bättre överblick över hur hanteringen ser ut. Då kan ni rensa bort en del, skapa rutiner för vilka register ni ska ha och bestämma varför vissa register måste finnas. Skriv en registerförteckning så att ni vet vilka register ni har. Håll registerförteckningen uppdaterad genom att hålla nere antalet personregister och föra in eventuella nya register som skapas.
4. Se över vilka personuppgifter ni sparar och i vilket syfte
Spara endast de personuppgifter som är nödvändiga för att kunna bedriva er verksamhet och upprätthålla en god medlemsvård. Registerförteckningen ska innehålla en formulering om hur länge ni sparar personuppgifterna samt på vilken grund ni lagrar dem. Se till att ni inte sparar fler uppgifter än vad ni behöver.
5. Se över säkerheten
Minimera risken för att personuppgifter läcker ut. Detta gör ni bäst genom att skapa rutiner för vilka som får hantera och spara register, och på vilket sätt de sparas. Se till att personuppgifter inte sparas på personers egna datorer eller andra ställen där säkerheten är låg. Läs mer under avsnittet IT-säkerhet i handboken.
Skulle personuppgifter läcka, t ex om någon mister sin dator eller telefon med personregister i eller någon hackar sig in organisationens digitala system, har ni 72 timmar på er från att det upptäcks, att rapportera det till Datainspektionen.
6. Skriv personuppgiftsbiträdesavtal
Alla externa parter som ni lämnar ut personuppgifter till är era personuppgiftsbiträden som ni ska skriva ett personuppgiftsbiträdesavtal med. Det finns avtalsmallar för detta och är inte speciellt komplicerat. Avtalet klargör vilket ansvar biträdet har över era personregister och på vilket sätt de får hanteras. Det kan t.ex. vara tryckeriet som trycker er medlemstidning (och distribuerar den). Det kan också komma att bli aktuellt att instanser inom organisationen är personuppgiftsbiträden för varandra.
Föreningar anslutna som medlemsklubbar i Sportfiskarna är personuppgiftsansvariga för sina medlemsuppgifter och måste upprätta ett personuppgiftsbiträdesavtal med Sportfiskarna där förbundet är personuppgiftsbiträde.
7. Personuppgifter i ostrukturerat material
Alla personuppgifter som förekommer i t.ex. mejl, protokoll, brev och på webbsida, så kallat ostrukturerat material, omfattas också av GDPR. Så har det inte varit tidigare. Det innebär att ni behöver undersöka att publicering av personuppgifter i ostrukturerat material har rättsligt stöd, att ni skapar rutiner för hur ni avpersonifierar uppgifter i handlingar och att ni informerar de registrerade på ett korrekt sätt.
8. Informera om hur ni hanterar personuppgifter
Den sista, och kanske viktigaste punkten, är att vara tydlig i informationen till personerna ni registrerar hur ni hanterar deras uppgifter och att ni noga motiverar hur behandlingen av dessa sker. Detta gäller inte bara när personer registrerar sig som medlemmar, utan även personuppgifter som samlas in vid t.ex. anmälan till kurser, tävlingar och andra aktiviteter samt register över funktionärer mm.
Medlemsvillkor
I organisationens medlemsvillkor ska det framgå hur personuppgifter behandlas. Dessa ska personen känna till och aktivt godkänna innan de blir medlemmar eller påbörjar en ny medlemsperiod. Det aktiva godkännandet kan ske genom att personen klickar i en ruta eller betalar din avi. Länka till medlemsvillkoren på era medlemssidor och gör klart att det är personens ansvar att ta del av dessa innan de godkänner. En sammanfattning av medlemsvillkoren, och länk till dem i sin helhet, bör finnas med i medlemsavin eller i det digitala anmälningsformuläret.
Förbundets policy för personuppgifter kan ni läsa på: www.sportfiskarna.se/medlem
Föreningshandbok GDPR
Inventeringsmall personuppgifter