Hoppa till sidans innehåll

Riksidrottsförbundet är idrottsrörelsens samlade organisation med uppgift att stödja, företräda och leda rörelsen i gemensamma frågor, såväl nationellt som internationellt.

Hitta ditt distriktsförbund (DF)

Vanliga frågor


På den här sidan har vi svarat på några av de vanligaste frågorna som Riksidrottsförbundet fått från förbund och föreningar gällande de nya bestämmelserna. Om du inte hittar svar på just din fråga går det bra att mejla till This is a mailto link.


Allmänt om dataskyddsförordningen

Vad innebär det att föreningen självmant ska informera de registrerade?

Den registrerade har rätt att få information när vederbörandes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av föreningen både när uppgifterna samlas in och när den registrerade annars begär det. En sammanställning av vilken information som ska ges till den registrerade finns i mall för integritetspolicy under "Utbildning, stöd och mallar". I mallen kan föreningen enkelt fylla i hur föreningen behandlar personuppgifter. Integritetspolicyn bör publiceras på föreningens hemsida och länkas till i samband med svarsmejl via e-post. 

Visa svar


Dölj svar


Vad innebär det att föreningen måste ha en laglig grund för behandling av personuppgifter?

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en laglig grund. De lagliga grunderna är avtal, uppgift av allmänt intresse, intresseavvägning, rättslig förpliktelse, skydda den registrerades grundläggande intressen, myndighetsutövning och samtycke. 

Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Exempelvis måste föreningen följa de grundläggande principerna och tillvarata individens rättigheter. 

Visa svar


Dölj svar


Vad kan idrottsföreningarna göra?

I alla led inom idrotten behandlas personuppgifter i olika sammanhang. Redan nu bör föreningen:

  1. Skapa medvetenhet om Dataskyddsförordningen
     
    Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av Dataskyddsförordningen.

  2. Planera för implementering under 2018

    Ni bör planera för att med stöd av uppförandekod och instruktioner implementera Dataskyddsförordning under 2018.
     
  3. Kartlägga organisationens behandling av personuppgifter

    Ni bör kartlägga vilka personuppgifter organisationen hanterar, på vilket sätt personuppgifter behandlas, vilka som har tillgång till personuppgifter samt i vilka system personuppgifter behandlas.

Visa svar


Dölj svar


Vad finns det för stöd för idrottsföreningar och förbund?

I den uppförandekod som RF tar fram kommer föreningar och förbund att få vägledning i hur personuppgifter kan behandlas.

RF arbetar både med stöd som ska underlätta föreningars arbete med Dataskyddsförordningens regler och med anpassningar i IdrottOnline. Exempelvis tar RF fram mallar för policys kring IT- och informationssäkerhet, åtgärdsplan för personuppgiftsincident, registerförteckning, formulär för begäran av registerutdrag etc.

Visa svar


Dölj svar


Hur påverkar den nya lagstiftningen idrotten?

För idrotten innebär det hårdare regler kopplat till vilka personuppgifter som får behandlas och på vilket sätt personuppgifter behandlas inom en organisation. Det påverkar samtliga ställen där personuppgifter finns såsom medlemsregister, tävlingssystem, resultatlistor, licenshantering, e-post och hemsidor eller liknande.

Eftersom personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person går det således inte att göra en uttömmande lista på allt som anses vara personuppgifter. Några exempel är namn, personnummer, e-postadresser, bilder, telefonnummer och adress.

Visa svar


Dölj svar


Hantering och publicering av bilder

Vad gäller vid bildpublicering på föreningens hemsida och sociala medier?

När det gäller publicering av material på föreningens hemsida och sociala medier sker det som utgångspunkt med stöd av en intresseavvägning. För det krävs att föreningens intresse av att publicera bilder för att exempelvis visa upp föreningens verksamhet väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bild-publicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen. 

Inget material som upplevs kränkande av den som berörs av behandlingen får publiceras, varken på hemsidan eller i sociala medier. Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska detta material omedelbart avpubliceras. Detta gäller om avpublicering rimligen kan ske med hänsyn taget till föreningens organisation. När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan det vara lämpligt att inhämta samtycke från vårdnadshavare. 

Mer information finns i instruktionen för behandling av ostrukturerat material under fliken "Utbildning, stöd och mallar". 

Visa svar


Dölj svar


Hur gör vi om vi vill fota vid en tävling/träning och inte känner alla som är där?

Som tidigare informerat kan publicering av bilder på föreningens hemsida och sociala medier med stöd av en intresseavvägning, i syfte att informera om föreningens verksamhet. Resonemanget kring detta behöver dock finnas dokumenterat.

Samtliga besökare behöver informeras om att deras personuppgifter, alltså bilderna, kan komma att användas av föreningen för att informera om verksamheten på webbplats och/eller sociala medier. Personerna behöver också få information att de har möjlighet att invända mot behandlingen, samt vem de då ska kontakta.

Föreninen måste inte samla in namn på alla som är med på bilderna, men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller individens rättigheter.

När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan det vara lämpligt att inhämta samtycke från vårdnadshavare.

Visa svar


Dölj svar


Medlemskap

Hur är det för barn och ansökan om medlemskap i förening: måste målsman godkänna för barn upp till 18 år?

Ja, inom idrottsrörelsen ingås avtal om medlemskap för personer under 18 år av vårdnadshavare. Avtalet ingås genom att vårdnadshavaren erlägger barnets medlemsavgift och därigenom accepterar villkoren för medlemskap i idrottsföreningen. Den lagliga grunden för behandling av barns personuppgifter inom ramen för medlemskap är avtal. 

Visa svar


Dölj svar


Krävs skriftligt godkännande av medlemsavtalet eller kan det vara muntligt?

Det krävs inget skriftligt godkännande av medlemsavtalet. Medlems ingående av avtal med föreningen sker när medlemsavgiften inbetalas till föreningens konto. Genom inbetalning av medlemsavgiften anses medlemmen ha accepterat villkoren för medlemskap i föreningen och det har uppstått ett avtal mellan medlemmen och föreningen. 

Visa svar


Dölj svar


Måste vi ta in samtycke från alla medlemmar?

Nej, men ni behöver ha en laglig grund för all behandling av personuppgifter. Samtycke är enbart en av flera andra lagliga grunder. Exempelvis är avtal en laglig grund för behandling av personuppgifter inom ramen för medlemskapet. 

Föreningen ska enbart i undantagsfall stödja behandling av personuppgifter på samtycke. Att administrera samtyckesinhämtning, ändringar och eventuella återkallelser kan innebära en stor arbetsbörda för föreningen. Samtycke ska som utgångspunkt enbart inhämtas om det inte finns någon annan tillämplig grund för er personuppgiftsbehandling.

Visa svar


Dölj svar


Tävling

Hur hanterar jag matallergier inför läger/tävlingar?

Uppgifter om allergier eller andra hälsouppgifter är att anse som känsliga personuppgifter. Se till att enbart samla in känsliga personuppgifter när det behövs och att radera uppgifterna när ändamålet med insamlingen är uppfyllt.

När det gäller uppgifter om matallergier bör enbart ledaren/ansvarig för gruppen ha tillgång till listan över personer med matallergier. När matallergier sedan ska kommuniceras till ex. en konferensanläggning/restaurang etc bör uppgifterna vara på aggregerad nivå. Dvs enbart uppgifter om exempelvis antal deltagare med gluten- eller laktosfri kost.

Visa svar


Dölj svar


Måste en leverantör av tävlingssystem ha biträdesavtal med organisation som arrangerar tävling? 

Om leverantören behandlar personuppgifter för tävlingsarrangörens räkning ska ett personuppgiftsbiträdesavtal upprättas. En systemleverantör behandlar som utgångspunkt personuppgifter för kundens räkning. 

Mer information om personuppgiftsbiträdesavtal finns i instruktionen för personuppgiftsbiträdesavtal under fliken "Utbildning, stöd och mallar". 

Visa svar


Dölj svar


Vad gäller vid publicering av resultatlistor?

Föreningen behöver informera alla registrerade innan publicering av resultatlistor sker. Resultatlistorna ska inte innehålla mer personuppgifter än vad som behövs för ändamålet med publiceringen. Exempelvis bör resultatlistor aldrig innehålla fullständiga personnummer. Om en individ begär att bli raderad från en publicerad resultatlista bör föreningen ha rutiner för att anonymisera den individens personuppgifter i resultatlistan. 

Visa svar


Dölj svar


Utbildning

Måste en kursanmälan ha ett godkännande av avtalet? 

Statsbidragsfinansierad utbildning kan stödjas på den lagliga grunden uppgift av allmänt intresse. Att anmäla sig till och delta i en utbildning kan även ses som ett ingående/fullgörande av avtal. Om avtal eller allmänt intresse är den lagliga grunden krävs inte ett särskilt skriftligt godkännande av avtalet. Observera dock att det är den personuppgiftsansvarige som ansvarar för att informera om hur personuppgifter kommer att behandlas inom ramen för utbildningen och säkerställ att det finns en laglig grund för behandlingen. 

Visa svar


Dölj svar


Måste uppgifter som har getts i samband med kurs raderas efter tillfället hållits?  

Det kan finnas ändamål för föreningen att spara personuppgifter även efter att ett utbildningstillfälle har genomförts. Exempelvis vid statsbidragsfinansierad utbildning finns krav på återrapportering avseende deltagartillfällen, antalet deltagare etc. Det kan också finnas ändamål kopplade till vidareutbildning, fortsättningskurser osv. 

Visa svar


Dölj svar


LOK-stöd

Vad gäller vid behandling av personuppgifter för LOK-stödet?

Riksidrottsförbundet (RF) är tillsammans med respektive förening gemensamt personuppgiftsansvariga för behandlingen av personuppgifter som sker inom ramen för LOK-stödet.

Läs fullständig text om behandling av personuppgifter inom LOK-stödshanteringen här.

Visa svar


Dölj svar


Föreningsadministration

Hur hanterar vi våra protokoll inom föreningen utifrån GDPR?

För protokoll bör ni kunna använda Avtal som laglig grund då de torde framgå tydligt i era stadgar. Om det inte gör det kan intresseavvägning vara tillämpningsbart.

Då föreningens behöver dokumentera sin verksamhet och tagna beslut ska protokoll fortsatt skrivas. Dock behöver ni inom föreningen fundera på hur protokoll distribuerar och publiceras. Protokoll bör t.ex. inte publiceras publikt på webben om de innehåller personuppgifter.

Inom föreningen bör ni även fundera på vilken typ av personuppgifter som anges i protokollet. Om det inte är nödvändig för beslutet bör känsliga personuppgifter inte dokumenteras. Exempel på detta kan vara att skriva mer sakliga protokoll där t.ex. anledning till att en förtroendevald avgått inte fram går utan bara information om att denne gjort det.

Lagringstiden för ett protokoll ska kopplas ihop med protokollets ändamål.

Visa svar


Dölj svar


Kan vi ha kvar våra kontaktlistor till styrelse och ledare på webben?

När det gäller namn och telefonnummer kan det vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att föreningen/förbundets intresse för att publicera kontaktlistorna väger tyngre än intresset av skydd för sina personuppgifter av de personer vars uppgifter är publicerade. Detta resonemang behöver föreningen/förbundet ha dokumenterat.

Om den registrerade invänder mot att uppgifterna publiceras/kommuniceras bör ni upphöra med behandlingen.

Det är föreningen/förbundet som måste påvisa att en intresseavvägning har skett genom dokumentation och behöver säkerställa att alla registrerade individer har fått information om att de finns registrerade i informationsblad, kontaktlistor etc och varför de finns registrerade där.

Dock bör ni fundera över om ni verkligen behöver ha dessa personuppgifter ständigt publicerade på webben.

Visa svar


Dölj svar


GDPR och IdrottOnline

Vad gäller för personuppgifter, säkerhet och integritetsskydd inom IdrottOnline?

Inom idrottsrörelsen behandlar vi många olika typer av personuppgifter för att vardagen ska fungera.

På följande sida hittar du information om hur vi jobbar med säkerhet och integritet.

Personuppgifter och IdrottOnline

Visa svar


Dölj svar


Hur påverkas funktioner i IdrottOnline av nya dataskyddsförordningen?

Arbetet med att säkerställa att Idrottonline lever upp till kraven för GDPR har pågått under hela 2017 och kommer fortlöpa under 2018.

I augusti 2017 implementerades de första förändringarna inom IdrottOnline och fram till årsskiftet 2018 kommer anpassningar ha gjorts inom applikationerna Organisation, Person, Grupp, Integration och Inställningar inom IdrottOnline Administration. Utöver detta har vi även gjort anpassningar inom Idrottsmedel, Utbildning och LOK-stöd.

I maj 2018 lanserades en uppdaterad "Min Sida" för att tillvarata individens rättigheter, däribland möjlighet till registerutdrag samt portabilitet.

Vi anger löpande rapportera om vad som lanseras inom IdrottOnline på www.idrottonline.se/nyheter

Visa svar


Dölj svar


Hur stödjer IdrottOnline individens rättigheter inom GDPR?

I IdrottOnline kommer vi i maj 2018 att lansera nya funktioner på min sida för att tillgodose individens rättigheter. På min sida kommer individen kunna:

  • generera ett registerutdrag för uppgifter inom IdrottOnline
  • exportera sina uppgifter (dataportabilitet)
  • begära utträde/att bli borttagen från ett medlemsregister
  • se om det finns aktiva integrationer kopplat till organisationer där individen är medlem. 
  • läsa om syfte och behandling som sker inom IdrottOnline (rätt till information)

Redan idag kan man själv uppdatera sina kontaktuppgifter (rätt till rättelse).

Visa svar


Dölj svar


Behöver föreningar/förbund teckna personuppgiftsbiträdesavtal för användadet av IdrottOnline?

Det behövs inte skriva några separata avtal mellan idrottsföreningar, specialidrotssförbund och RF/SISU för användandet av IdrottOnline. Detta då Datainspektionens beslutat att RF, specialidrottsförbund och respektive idrottsförening är gemensamt personuppgiftsansvariga för behandlingen inom IdrottOnline.

Däremot kan det behöva tecknas avtal med externa leverantörer som hanterar era personuppgifter.

Visa svar


Dölj svar


Postadress:Riksidrottsförbundet
Box 11016
100 61 Stockholm

Besöksadress: Skansbrogatan 7
118 60 Stockholm

Kontakt:Tel: 08-699 60 00
Fax: 08-699 62 00
E-post: This is a mailto link

Vi finns på Twitter Följ oss