Lite om kraven:
Lagen styr behandlingen av personuppgifter. Allt som går att koppla till någon, som bidrar till att identifiera en person är en personuppgift – även bilder om det finns personer på bilderna som går att identifiera.
Det är föreningen som är personuppgiftsansvarig. Det är styrelsen som ansvarar för att föreningen följer lagen. Det är alltså aldrig en person som är formellt ansvarig, även om föreningen utsett någon att till exempel sköta medlemsregistret.
Om syftet är journalistiskt, konstnärligt, litterärt eller akademiskt skapande undantas GDPR.
Bilder:
Upphovsmannen av en bild är den som tar bilden och äger bilden.
Fotografens namn behöver inte stå skrivet i anslutning till bilden
På allmän plats är det fritt fram att fotografera och fotografen behöver inte fråga om lov först.
Lagen kräver:
När man samlar in personuppgifter så måste man först informera så att den som lämnar uppgifterna får en klar bild av vem man är, vad uppgifterna ska användas till med mera.
Medlemsregister
Namn: För att driva en förening behöver man ju veta vilka som är medlemmar.
Adress: Post eller e-post. Medlemmar förväntar sig vanligtvis kontakt och dessutom vill föreningen kanske avisera en medlemsavgift
Personnummer:Man får inte behandla personnummer om man inte behöver en exakt identifiering. Det kan behövas om man har fakturerat något och ännu inte fått betalt. Det kan också behövas om föreningen får någon form av stöd som baseras på antalet medlemmar. Det kan också krävas i vissa kontakter med riksorganisationer.
Om man registrerar barn så behövs vårdnadshavarens samtycke. Därför ska de informeras och godkänna barnets medlemskap i förväg.
Hantera personuppgifterna säkert. Sprid inte via e-post
Webbplats, Facebook m fl
Föreningen bör ha en policy för personuppgifter och den bör finnas på föreningens sidor på internet.
Man får inte lämna ut personuppgifter utan att ha ett uttryckligt samtycke. Man ska kunna dokumentera detta, också vilken information man lämnade innan samtycket erhölls. Ett sätt kan vara att samla in samtycken skriftligt på en speciell blankett.
Kurser, tävlingar och evenemang
Ofta behöver man hantera information om allergier och annat vid ett evenemang där mat ingår. Detta är information om personens hälsa och det är en känslig personuppgift. Man får behandla den med uttryckligt samtycke men så snart evenemanget är slut så ska den informationen tas bort. I det fallet räknas det som samtycke att personen frivilligt lämnat uppgiften.
Om den registrerade ger sitt uttryckliga samtycke så kan man lagra uppgiften längre. Till exempel kan en förälder vilja att information om ett barns allergi finns registrerad. Detta samtycke bör man ha skriftligt.
Detta är saker styrelsen behöver göra:
- Kartlägga vilka personuppgifter man har, varför och var man har dem.
- Dokumentera detta. GDPR kräver att man har en registerförteckning men den kan behöva kompletteras med rutinbeskrivningar.
- Alla gamla eller överflödiga uppgifter ska raderas.
- När man vet vilka system man använder så ska man teckna avtal med alla sina biträden. Styrelsen skall ha avtal med registeransvarig, evenemangsansvarig, annonsansvarig osv.
- Kontrollera att man fyller lagens krav på vilken information som ska ges när man samlar in uppgifter. Om man finner brister så ska man se till att informera de registrerade snarast.
- Kontrollera att personuppgifterna hanteras säkert. Kanske finns behörighetssystem som borde användas. Om medlemslistor skickas med e-post bör man söka en annan lösning. e-post är närmast jämförbar med vykort.
Tips: Komprimera (zip:a) det som ska skickas och sätt ett lösenord. Skicka den komprimerade filen med e-post och ring eller sms:a över lösenordet.