Riktlinjer för behandling av personuppgifter

Bakgrund

Personuppgifter, är alla uppgifter som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person (namn, kontaktuppgifter, foto, film etc). 

Individen äger sina personuppgifter och IKSU lånar dem för att fullgöra förpliktelserna mot medlemmar, kunder och myndigheter. Vi får inte behandla fler personuppgifter än vad som behövs för ändamålet och vi ska skydda uppgifterna på de sätt som beskrivs i Dataskyddsförordningen, GDPR.

”Behandling” av personuppgifter är varje åtgärd vi gör då vi hanterar personuppgifter (ex insamling, registrering, lagring, läsning, spridning, justering, radering)

Personuppgifter som kräver särskilt skydd är hälsouppgifter (ex allergier, hälsostatus), uppgifter om brott, religion, facklig tillhörighet m.m. Alla personuppgifter om barn kräver också särskilt skydd. 

Personnummer* ska vi använda med omsorg och endast i de fall vi behöver det för säker identifiering. Om det är möjligt, uteslut de fyra sista siffrorna i personnumret (ex då vi skriver ut deltagarlistor till arrangemang eller tävling).

Den registrerades rättigheter

Den registrerade (individen) har rätt till information vid insamlande av personuppgifter.  Det innebär att vi alltid måste informera varför vi sparar individens personuppgifter, hur länge vi sparar dem samt vilka rättigheter individen har gentemot IKSU. All information till medlemmar och kunder finns sammanställt i IKSU:s integritetspolicy på hemsidan. Länka till den då du samlar in personuppgifter. 

I integritetspolicyn framgår också vart individen ska vända sig i frågor som rör hans/hennes personuppgifter. Individen har rätt att få ett registerutdrag över de personuppgifter som IKSU har registrerat gällande personen, rätt att få sina personuppgifter rättade eller raderade. Man har också rätt att invända mot behandling, t ex att IKSU publicerat ett foto av personen på hemsidan.

Den registrerades rättigheterna gäller även då vi behandlar personuppgifter i ostrukturerad form som mail, hemsida, sociala medier m.m. 

*Personnummer får behandlas då sådan behandling är nödvändig på grund av vikten av en säker identifiering eller klart motiverad med hänsyn till ändamålen. Inom idrottsrörelsen behöver personnummer samlas in för att uppfylla kommunala och statliga krav inom ramen för bidragsfördelning. Personnummer är också nödvändigt för att uppfylla kraven på att samtliga kommuner ska kunna säkerställa vart registrerade inom idrottsrörelsen är folkbokförda. Av denna anledning får personnummer insamlas och behandlas exempelvis för att undvika dubbelregistrering av personer, i tävlingssammanhang, vid överföring till IdrottOnline för registrering i underlag för bidragsansökningar, vid anti-dopingarbete, bestraffningsärenden, tillträdesförbud samt vid administration av tävlingslicenser

Behandling av ostrukturerat material

Här avses all behandling av personuppgifter i e-post, på hemsidor, i pappersform, på datorer etc.  

Hantering av e-post

  • Vi ska försöka att i möjligaste mån styra bort att enskilda skickar in känsliga personuppgifter via oskyddad e-post.

  • När vi mottagit och läst e-posten, ska en bedömning göras om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter. 

  • Vi ska inte skicka fullständiga personnummer eller personuppgifter som kräver särskilt skydd med oskyddad e-post.  E-postmeddelandet skall krypteras i dessa fall.

  • Om vi skickar e-post till många samtidigt, ska en övervägning göras om adresserna ska skrivas i fältet för dold kopia (bcc). 

  • Vi ska inte sprida uppgifter i onödan. Föreningen ska enbart skicka personuppgifter till dem som behöver uppgifterna för sitt uppdrag. 

  • Om vi skickar svarsmejl eller autosvar, ska en standardtext bifogas med länk till IKSU:s integritetspolicy på hemsidan.  

Användning av anmälningsformulär

I de fall vi samlar in personuppgifter via formulär (ex Google formulär, Office 365 forms), är det viktigt att alltid informera hur vi behandlar personuppgifter. Enklast görs detta genom att ge en kort beskrivning samt länk till IKSU:s integritetspolicy på hemsidan.

Publicering på hemsida, sociala medier etc

För att publicera personuppgifter som foton, film, individers prestationer etc, ska vi kunna motivera att IKSU:s intresse av att publicera bilder för att exempelvis visa upp föreningens verksamhet väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bildpublicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen. Detta resonemang är dokumenterat då det gäller bilder som finns i Image Vault. Om du däremot använder bilder som inte kommer från Image Vault kontaktar du någon i redaktörsteamet för att få råd och stöd.

Eftersom vi måste kunna hantera att vissa personer inte vill synas på bild/film, är det viktigt att överväga om det kan fungera lika bra att fota/filma på längre avstånd. Extra viktigt då det gäller barn.

Barns personuppgifter kräver särskilt skydd vilket gör att det vid publicering på hemsida och sociala medier kan bli aktuellt med samtycke från vårdnadshavare. Barn som är 16 år och äldre kan själva ge samtycke men man ska vara tydlig i informationen om med vad detta innebär för ungdomen.

Om det är möjligt, arrangera gärna speciella tillfällen för fotografering av barnverksamhet där ni ordnat med samtycke från vårdnadshavare.  

Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska detta material omedelbart avpubliceras från hemsida, Sociala medier eller annan kanal. Detta gäller om avpublicering rimligen kan ske med hänsyn taget till föreningens organisation.