Dataskyddsförordningen "GDPR"

Klubbens ansvar för personuppgifter

Klubben ansvarar för hanteringen av personuppgifter i sin verksamhet.
 
Denna sida sammanfattar vad det innebär i praktiken för klubb i D2360 som använder ClubRunners klubbversion.
 
Läs IMY:s checklista för föreningar. En Rotaryklubb behöver inte utse dataskyddsombud och behöver inte heller föra register över sin behandling av personuppgifter (om klubben har färre än 250 medlemmar!).
GDPR syftar till att skydda personuppgifter och ställer krav på hanteringen av dessa uppgifter. Läs om GDPR:s grundläggande principer.

Laglig grund

Det måste alltid finnas en s k laglig grund för att behandla personuppgifter. Den lagliga grunden för Rotaryklubbar är avtalet om medlemskap som finns mellan medlemmen och klubben. Klubben måste hantera vissa personuppgifter för att medlemskapet ska fungera.
 
En annan laglig grund är samtycke. Det gäller t ex den som anmält sig som prenumerant på nyhetsbrev eller tecknat sig på en frivilliglista. Samtycke kan dras tillbaka och då ska tillhörande personuppgifter raderas.
 

Privacy by default

GDPR är ”Privacy by default”, uppgiftsminimering, dvs så lite som möjligt. Klubben ska därför ha som policy att inte lägga in annat än nödvändiga personuppgifter i ClubRunner!
 
Exempel på en uppgift som inte behövs för att medlemskapet ska fungera är: namn på partner. Men medlemmen kan förstås själv fylla på uppgifter i sin profil. För tydlighets skull bör klubben ha en rutin som anger vilka uppgifter klubben lägger in och underhåller - uppgifter därutöver (som medlemmen själv har lagt in) är inte klubbens ansvar.
 

Vad är en personuppgift?

IMY: "Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
 
Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns."
 
Observera att GDPR gäller personuppgifter både i digital form och på papper.
 

Skydda personuppgifterna

Detta gör ni genom att "vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder". Det betyder bl a att tänka på hur klubbens funktionärer hanterar medlemsuppgifter i sina telefoner och datorer, så att uppgifterna inte kommer på avvägar.
 
Den som inte längre är funktionär i klubben ska inte ha tillgång till mer personuppgifter än vad som finns att tillgå för en vanlig medlem genom inloggning i ClubRunner.
 

Ändamål för behandlingen

Medlems personuppgifter får behandlas i klubben så att medlemskapet fungerar. Behandling för andra ändamål är inte tillåten, t ex ge ut medlemslista utanför klubben. Behandling för andra ändamål kräver aktivt samtycke från berörda, men samtycke ska administreras och bör därför undvikas.
 

Före detta medlemmar

När medlemskapet har upphört finns inte längre den lagliga grunden för att lagra och behandla personuppgifterna. Klubben måste därför i sina rutiner för registervård avidentifiera f d medlemmar. Se supportsidan Medlemskap om CR:s funktion Pseudonymisering.
 

Information om klubbens hantering av personuppgifter

Hänvisa till Integritetspolicy som finns på klubbens webbplats. Den nås från sidfoten i alla klubbens webbsidor. Motsvarande länk till distriktets integritetspolicy ser du i den svarta sidfoten på denna sida.
 
När en extern kontakt (icke-medlem) läggs upp som ny kontakt går det ut ett automatiskt s k integritetsmeddelande. Se supportsidan Externa kontakter.
 

Registerutdrag

Medlemmen kan själv kan logga in och i sin medlemsprofil kontrollera sina personuppgifter.
 

Personuppgiftsbiträden

Annan än klubben som bearbetar medlemmarnas personuppgifter kallas för personuppgiftsbiträde. Det kan vara t ex leverantören av ett IT-stöd. Distriktet har tecknat personuppgiftsbiträdesavtal med Infotech Business Center Inc. (leverantören av ClubRunner), vilket gäller även för klubbar med ClubRunners klubbversion. I avtalet garanterar leverantören följsamhet med GDPR både för egen del och för de underleverantörer som den anlitar.
 

Avtal som behövs enligt GDPR

  1. Avtal om gemensamt personuppgiftsansvar mellan distriktet och respektive CR-klubb, eftersom klubben och distriktet hanterar delvis samma personuppgifter. Avtalet tydliggör ansvarsfördelningen mellan klubb och distrikt så att det inte ska finnas luckor i tillämpningen av GDPR. Se avtalstexten här.
  2. Personuppgiftsbiträdesavtal som gäller både för distriktet och för klubbar som använder ClubRunners klubbversion. Se distriktets avtal här (innehåll enligt ClubRunners mall).