EU har beslutat om en ny dataskyddsförordning som reglerar hur personuppgifter får hanteras – GDPR (General Data Protection Regulation). GDPR träder i kraft den 25 maj 2018 och ersätter personuppgiftslagen (PUL).

GDPR kommer att påverka idrotten, såväl förbund som föreningar. Riksidrottsförbundet (RF) har det övergripande ansvaret för att förstå och tolka hur GDPR påverkar oss inom idrotten. RF har därför tagit fram en gemensam uppförandekod (uppförandekod är i detta sammanhang en juridisk term) för hur vi inom idrotten ska hantera personuppgifter utifrån att stärka individens rättigheter kring sina uppgifter, men även för att vi som organisationer ska leva upp till GDPR. RF har även tagit fram instruktioner och mallar som underlättar för såväl föreningar som förbund att följa GDPR.

Svenska Bangolfförbundet stödjer sig på Riksidrottsförbundets arbete med GDPR. För att påbörja och hitta struktur i ert arbete med GDPR finns en checklista framtagen av RF. Samtliga mallar och instruktioner som omnämns i checklistan återfinns här.

Dataskyddsförordningen består i huvudsak av sju grundprinciper som gäller för all behandling av personuppgifter. Dessa kan verka krångliga och svårtolkade, därför har RF beskrivit i vilka sammanhang de är relevanta för idrotten.

Anpassning till nya dataskyddsförordningen (GDPR) i HCP Online.

HCP Online är SBGF tävlings- och resultatprogram där förbundets sanktionerade tävlingar finns med i. Här kan man även se varje spelares ranking på de olika underlagen. Personuppgifterna som finns med i programmet är en spegling av uppgifterna som finns med i IdrottOnline.

SBGF håller på med att uppdatera HCP Online så att det skall vara mer anpassat till GDPR som t ex att man inte skall kunna se så många uppgifter om man inte har någon inloggning. Endast licensierade spelare kommer att vara synbara, förutom på gamla resultatlistor som kommer att vara intakta.

De uppgifter som t ex bild, kontaktuppgifter eller övrig text som varje medlem lägger upp själv under fliken ”Min Sida” i HCP Online är varje medlem ansvarig själv för.

Det är inte tillåtet att dela på inloggningsuppgifter. Vi måste enligt lag logga vem som utfört en registrering eller ändring av personuppgifter i databasen. En sådan loggning finns HCP Online även om den inte alla gånger syns.
Det är inte heller bra om flera personer jobbar under en kollegas inloggning i HCP Online eller på den aktuella datorn. Behörigheten till en dator eller ett datorprogram ska styras på individnivå. Det är också mycket viktigt att ni kontinuerligt ser över vilka personer som har tillgång till HCP Online. Vid tveksamhet – stäng av behörigheten!

Anpassning till nya dataskyddsförordningen (GDPR) i IdrottOnline

Från 25 maj 2018 gäller EU:s nya dataskyddsförordning (GDPR) som innebär ett stärkt skydd för enskildas personliga integritet. För att underlätta administrationen av individens rättigheter kommer flera funktioner för detta lanseras i IdrottOnline under ”Min sida”.

Som medlem i en förening som använder IdrottOnline kan du få inloggningsuppgifter till IdrottOnline för att nå din profil – ”Min sida”. Vänd dig till din förening om du saknar inloggningsuppgifter.

”Min sida” når du genom att, efter du loggat in, klicka på ditt namn i övre högra hörnet, och därefter knappen ”Min sida”.

På ”Min sida” kan du redan idag hantera dina egna kontaktuppgifter och byta lösenord, men du kan även göra följande saker som (RF) nyligen uppdaterat på ”min sida”:

• Exportera dina uppgifter (dataportabilitet)
• Begära registerutdrag inom IdrottOnline
• Begära radering inom IdrottOnline *)

*) Rätten till radering kan begränsas av andra lagliga hinder, läs mer på www.datainspektionen.se.

Genom att du loggar in i IdrottOnline och gör det själv minskar du administrationen för föreningen du är medlem i.

I samband med införandet av GDPR har Riksidrottsförbundet även tagit fram en uppförandekod för behandling av personuppgifter. Det är för att skapa en enhetlig behandling av personuppgifter inom idrottsrörelsen och för att förenkla den specifika information som förbund och föreningar inom idrottsrörelsen måste känna till. Du som medlem inom idrottsrörelsen har rätt till och behöver känna till vilken typ av uppgifter om dig som generellt behandlas. Idrottsrörelsens uppförandekod för behandling av uppgifter hittar du uppförandekod för idrottsrörelsen

Klubbens e-posthantering
E-posthanteringen faller utanför Idrottens uppförandekod. Här gäller ”bara” GDPR.
Flera större organisationer och bolag kommer att gallra all e-post (läs radera!) efter exakt 12 månader.
SBGF rekommenderar klubbarna att spara e-post i allra högst 24 månader eftersom medlemskapen löper över minst 12 månader och det kan finnas äldre mail om kategoribyten, spelrätter, lån mm som behöver sparas i upp till 18–24 månader.
Gallra eller spara undan e-post som innehåller känsliga uppgifter om avsändaren eller andra personer. Tänk på att uppgifter om sjukdom och skada per definition räknas som känsliga uppgifter.
Se också över vem som har tillgång till e-postprogrammet och klubbens centrala e-postadresser. Begränsa tillgången till att bara ett fåtal anställda eller styrelseledamöter har access till e-postkontona.

Incidentanmälan
Alla eventuella incidenter som inträffat, tex att en lagledare eller kommittéledamot missbrukat e-postadresser från IdrottOnline och HCP Online måste anmälas till SBGF för vidare utredning.

Registerförteckning
RF har tagit fram en förifylld mall för ”registerförteckning över behandlingar av personuppgifter” som varje organisation måste ha. Eftersom det mesta på klubben görs i IdrottOnline kan klubbarna ha i stort sett identiska förteckningar. Mallen kommer att läggas ut på bangolf.se inom kort.

Registerutdrag
Alla personer har rätt att begära att få ett registerutdrag som ska innehålla information om alla egna personuppgifter som behandlats. Vår rekommendation är att ni i första hand ska hänvisar bangolfspelarna till att gå igenom vad som visas i IdrottOnline. Bangolfspelaren kan där se det allra mesta som finns behandlat om honom/henne. Den som söker mer/annat får ges de uppgifterna efter manuellt arbete.

Lämna ut medlemslistor
Det är tillåtet att lämna ut en medlemslista (t ex över alla juniorer) till ansvariga tränare och ledare. Uppgifterna får självfallet bara användas för de avsedda arbetsuppgifterna och inte skickas vidare till andra personer som inte jobbar med verksamheten. Ta bort personuppgifter som inte är nödvändiga. En kontaktlista över spelare till serielaget behöver rimligen inte innehålla gatu- och postadresser.

Publicering av namn och bild på hemsida eller sociala medier
Publicering av namn och inte minst bild kan vara integritetskänsligt för många människor. Det gäller särskilt för barn.
Det finns varken ett generellt tillstånd eller förbud i GDPR och Idrottens uppförandekod mot att publicera vimmelbilder, spelbilder från banan eller bilder på pristagare. Tvärtom är det viktigt med bilder och texter om medlemmarna för att skapa en inkluderande anda och klubbkänsla. Men, säkerställ innan publicering av särskilt barn genom ett skriftligt godkännande av vårdnadshavare att det inte finns något hinder mot publiceringen. Respektera ett nej och respektera om bangolfspelaren ångrar sig och vill att texten/bilden tas bort.

På Riksidrottsförbundets sida för information och stöd i personuppgiftshantering finner du ännu mer information, svar på vanliga frågor och kontaktuppgifter till Riksidrottsförbundets supportavdelning.

Webbutbildningar i GDPR för föreningar – Läs mer och anmäler er här

Information om GDPR i förhållande till IdrottOnline

Mallar och instuktioner som RF tagit fram

Svar på vanliga frågor om GDPR

För frågor om dataskydd kontakta dataskydd@rf.se