Instruktion för behandling av ostrukturerat material
Innehållsförteckning
Behandling av ostrukturerat material
Checklista för att hantera ostrukturerat material
1. Kartlägg befintlig behandling som stödjer sig på missbruksregeln
2. Identifiera laglig grund för behandling som tidigare stödde sig på missbruksregeln
3. Identifiera laglig grund för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser, personnummer och överföring till tredje land
4. Undersök information till de registrerade
5. Tillvaratagande av de registrerades rättigheter vid ostrukturerat material.
6. Riktlinjer för hantering av e-post
Behandling av ostrukturerat material
I Sverige har vi tidigare haft den så kallade missbruksregeln som innebär enklare regler för personuppgifter i ostrukturerat material. När Dataskyddsförordningen börjar tillämpas den 25 maj 2018 försvinner missbruksregeln. Detta innebär att samma regler gäller för alla personuppgifter som behandlas i e-post, på hemsidor, i pappersform och datorer etc.
För all behandling av personuppgifter gäller dataskyddsförordningens regler, som bland annat innebär att föreningen ska:
följa de grundläggande principerna
ha en rättslig grund för behandlingen
ha en förteckning över personuppgiftsbehandlingar
informera om personuppgiftsbehandlingen
ha rutiner för att tillvarata den enskildes rättigheter
skydda personuppgifterna
Checklista för att hantera ostrukturerat material
1. Kartlägg befintlig behandling som stödjer sig på missbruksregeln
Föreningen har kartlagt befintlig behandling av ostrukturerat material och funnit att personuppgifter behandlas i e-post, på webbplatser och i olika filer på diverse datorer, mobiltelefoner och laptops.
Till följande ändamål behandlas personuppgifter i ostrukturerat material:
Föreningsadministration
Hantering av medlemskap i föreningen
Deltagande i föreningens träningsverksamhet
Deltagande i föreningens tävlingsverksamhet
Utbildningar arrangerade av föreningen
Kontakt med medlem
Publicering av material på hemsida och sociala medier
2. Identifiera laglig grund för behandling som tidigare stödde sig på missbruksregeln
Den behandling av personuppgifter som tidigare skedde med stöd av missbruksregeln och som är nödvändig för ändamålen definierade under punkt 1, sammanställs i nedanstående tabell med tillämplig laglig grund.
Ändamål med behandling Laglig grund
Hantering av medlemskap i föreningen Avtal
Föreningsadministration Avtal
Deltagande i föreningens träningsverksamhet Avtal
Licenshantering Avtal
Deltagande i föreningens tävlingsverksamhet Avtal
Ansökan om bidrag Rättslig förpliktelse
Sammanställning av statistik och uppföljning Allmänt intresse
Utbildningar arrangerade av föreningen Allmänt intresse vid statsbidragsfinansierad utbildning, annars samtycke
Kontakt med föreningen Intresseavvägning*
Besök på vår hemsida Intresseavvägning
Publicering av material på hemsida och sociala medier Intresseavvägning och ibland samtycke**
Tillträdesförbud Rättslig förpliktelse
Ordningsstörningar och otillåten påverkan Rättslig förpliktelse
*När föreningen mottar e-post beror det på innehållet om och hur länge det får sparas. När föreningen läser e-post ska en bedömning genomföras huruvida personuppgifterna ska behandlas/sparas och vilken laglig grund som finns för den fortsatta behandlingen.
Personuppgifter som fortsatt ska behandlas i exempelvis IdrottOnline ska överföras dit och därefter ska e-postmeddelandet raderas.
**När det gäller publicering av material på föreningens hemsida och sociala medier sker det som utgångspunkt med stöd av en intresseavvägning. För det krävs att föreningens intresse av att publicera bilder för att exempelvis visa upp föreningens verksamhet väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bild- publicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen.
Inget material som upplevs kränkande av den som berörs av behandlingen får publiceras, varken på hemsidan eller i sociala medier. Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska detta material omedelbart avpubliceras. Detta gäller om avpublicering rimligen kan ske med hänsyn taget till föreningens organisation. När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan samtycke från vårdnadshavare bli aktuellt.
3. Identifiera laglig grund för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser, personnummer och överföring till tredje land
Föreningen ska undvika att använda e-post för känsliga eller integritetskänsliga uppgifter. Om föreningen måste använda e-post för integritetskänsliga uppgifter, bör e-posten skyddas med kryptering så att endast den avsedda mottagaren kan ta del av uppgifterna.
Föreningen ska försöka att i möjligaste mån styra bort att enskilda skickar in känsliga personuppgifter via oskyddad e-post. Om föreningen får in känsliga uppgifter via e-post, se till att e-postmeddelandet raderas snarast möjligt. Om föreningen får lagra den typen av uppgifter ska uppgifterna snarast möjligt överföras till det system där de hör hemma, till exempel ett licenshanteringssystem.
4. Undersök information till de registrerade
Föreningen ska tydligt informera om föreningens behandling av personuppgifter. I nedanstående tabell sammanställs den information som den registrerade har rätt till. All information är sammanställd i föreningens integritetspolicy.
När personuppgifter samlas in från den registrerade När personuppgifter samlas in från annan
Personuppgiftsansvarige JA JA
Dataskyddsombudet JA JA
Ändamålen JA JA
Rättslig grund JA JA
Kategorier av personuppgifter NEJ JA
Intresse vid intresseavvägning JA JA
Mottagarna JA JA
Tredjelandsöverföringar JA JA
Lagringstid JA JA
De registrerades rättigheter JA JA
Rätten att återkalla ett samtycke JA JA
Rätten att inge klagomål till DI JA JA
När personuppgifter samlas in från den registrerade När personuppgifter samlas in från annan
Uppg.skyldighet enligt avtal eller lag JA NEJ
Automatiserat beslutsfattande JA JA
Källa varifrån uppg. har hämtats NEJ JA
5. Tillvaratagande av de registrerades rättigheter vid ostrukturerat material
Föreningen bedömer att oberoende av i vilken form personuppgifter behandlas, har individiden rätt att utöva alla sina rättigheter som regleras i dataskyddsförordningen:
Rätt till information vid insamlande av personuppgifter
Rätt till registerutdrag
Rätt till rättelse
Rätt till radering
Rätt till dataportabilitet
Rätt att invända mot behandling
Rätt att motsätta sig automatiserad behandling
Rätt att inge klagomål till tillsynsmyndighet
Rätt till skadestånd
Hur föreningen arbetar med att tillvarata individens rättigheter sammanställs i föreningens riktlinjer för att tillvarata den registrerades rättigheter.
Exempelvis när det gäller bildpublicering har personerna som är med på bilderna rättigheter enligt dataskyddsförordningen. Individerna har rätt till information om att deras personuppgifter, dvs bilderna, kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Föreningen ska alltid informera om vem de ska kontakta.
6. Riktlinjer för hantering av e-post
När föreningen mottagit och läst e-posten, ska en bedömning göras om uppgifterna ska bevaras och var det i så fall ska ske för att uppfylla de krav som gäller för just dessa uppgifter.
Föreningen ska inte skicka känsliga personuppgifter i oskyddad e-post.
Om föreningen skickar e-post till många samtidigt, ska en övervägning göras om adresserna ska skrivas i fältet för dold kopia (bcc).
Föreningen ska inte sprida uppgifter i onödan. Föreningen ska enbart skicka personuppgifter till dem som behöver uppgifterna för sitt uppdrag.
Föreningen ska informera på sin hemsida hur personuppgifter behandlas, exempelvis genom att länka till eller publicera föreningens integritetspolicy.
Om föreningen skickar svarsmejl eller autosvar, ska en standardtext bifogas med information hur föreningen behandlar personuppgifter. Alternativt länka till föreningens integritetspolicy som finns på hemsidan.
Föreningen ska informera alla i organisationen om reglerna och rutinerna för hur personuppgifter behandlas i föreningen. Föreningen ska också se till att rutinerna för behandling av personuppgifter hålls levande och efterlevs.