Innehållsförteckning

Personuppgiftspolicy

Legala grunder för personuppgiftsbehandling enligt Dataskyddsförordningen, GDPR

Behandling av personuppgifter får göras på olika grunder, där avtal eller allmänt intresse är de mest aktuella i SPSF verksamhet.

Uppgift av allmänt intresse

Såväl främjande av totalförsvaret som främjande av idrott är uppgifter av allmänt intresse. I detta främjande kan man bland annat ta stöd för att förteckna rekord och bevara sportsliga resultat samt märkeshantering. Uppgifter för redovisning av deltagande i SISU:s folkbildningsverksamhet hänförs också till denna grund.

Avtal

Är en annan grund för personuppgiftsbehandling, och den för organisationen kanske mest lämpliga. Behandling av personuppgifter är en förutsättning för aktivt medlemskap i en förening ansluten till SPSF, och medlemskapet bör utformas som ett avtal mellan föreningen och medlemmen. Eventuell framtida registrering av disciplinärenden bör stödjas med avtal som grund. Ett avtal kan utformas så att avtalet anses ingånget när medlemsavgiften betalas, under förutsättning att informationen om detta är tillräckligt tydlig.

Rättslig förpliktelse

Är en grund för personuppgiftsbehandling som kan bli aktuell när det exempelvis rör återredovisning av statligt stöd. Ett annat område som berör rättsliga förpliktelser är föreningarnas intygande av föreningsmedlemskap, aktivitet och skjutskicklighet. Här måste intygsgivandet bygga på en säker identifikation av medlemmen/sökanden. Ovanstående rättsliga förpliktelser motiverar behandling av personnummer.

Samtycke

Innebär just att den registrerade uttryckligen samtycker till behandlingen, efter att ha fått en begriplig information om vad det innebär (vem som behandlar, vad som behandlas, för vilket ändamål behandlingen sker och hur länge uppgiften sparas) etc. Detta kan göras separat, eller tillsammans med en uttrycklig information i samband med att medlemsavgiften betalas. Den registrerade kan alltid återkalla sitt samtycke.

MAP

För MAP är SPSF personuppgiftsansvarigt. SPSF avser att ta fram ett personuppgiftsbiträdesavtal med kretsar, föreningar och IT-leverantörer. Till avtalet kommer att fogas behövliga anvisningar. MAP innehåller endast uppgifter som SPSF, kretsarna och föreningarna behöver för att kunna administrera en persons medlemskap (kontaktuppgifter, genomgångna utbildningar, utmärkelser, tävlingsklassindelning). MAP innehåller personnummer för att på ett säkert sätt kunna identifiera en person, bland annat vid utfärdande av föreningsintyg. Du har rätt att stoppa SPSF:s lagring av och behandling av dina personuppgifter om inte SPSF:s intressen väger tyngre än din önskan om radering. En sådan begäran ska vara personligt undertecknad och insändas per post till: Svenska Pistolskytteförbundet, Box 27001, 102 51 Stockholmerson, bland annat vid utfärdade av föreningsintyg.

Övrigt

• Möjligheten att behålla f.d. medlemmar i register för att dokumentera utbildningar och utmärkelser samt för arkivändamål och forskning ska ytterligare utredas, men den preliminära bedömningen är att detta är uppgifter av allmänt intresse (SPSF har register över alla guldmärkestagare sedan 1934 och över alla utfärdade Pistolskyttekort).

• Avlidna personer omfattas inte av GDPR.

Ytterligare information hittar ni bland annat på Datainspektionens hemsida https://www.datainspektionen.se/dataskyddsreformen/

Frågor och svar

HUR PÅVERKAR DEN NYA LAGSTIFTNINGEN? (Till medlemmar och förening)

Innebär hårdare regler kopplat till vilka personuppgifter som får behandlas och på vilket sätt personuppgifter behandlas inom en organisation. Det påverkar samtliga ställen där personuppgifter finns såsom medlemsregister, tävlingssystem, resultatlistor, licenshantering, e-post och hemsidor eller liknande.

Eftersom personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person går det således inte att göra en uttömmande lista på allt som anses vara personuppgifter. Några exempel är namn, personnummer, e-postadresser, bilder, telefonnummer och adress.

HANTERING OCH PUBLICERING AV BILDER OCH RESULTAT. (Till medlemmar och förening)

Vad gäller vid bildpublicering på föreningens hemsida och sociala medier?

När det gäller publicering av material på föreningens hemsida och sociala medier sker det som utgångspunkt med stöd av en intresseavvägning. För det krävs att föreningens intresse av att publicera bilder för att exempelvis visa upp föreningens verksamhet väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bild-publicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen.

Inget material som upplevs kränkande av den som berörs av behandlingen får publiceras, varken på hemsidan eller i sociala medier. Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska detta material omedelbart avpubliceras. Detta gäller om avpublicering rimligen kan ske med hänsyn taget till föreningens organisation. När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan det vara lämpligt att inhämta samtycke från vårdnadshavare.

Hur gör vi om vi vill fota vid en tävling/träning och inte känner alla som är där?

Som tidigare informerat kan publicering av bilder på föreningens hemsida och sociala medier med stöd av en intresseavvägning, i syfte att informera om föreningens verksamhet. Resonemanget kring detta behöver dock finnas dokumenterat.

Samtliga besökare behöver informeras om att deras personuppgifter, alltså bilderna, kan komma att användas av föreningen för att informera om verksamheten på webbplats och/eller sociala medier. Personerna behöver också få information att de har möjlighet att invända mot behandlingen, samt vem de då ska kontakta.

Vad gäller vid publicering av resultatlistor?

Föreningen behöver informera alla registrerade innan publicering av resultatlistor sker. Resultatlistorna ska inte innehålla mer personuppgifter än vad som behövs för ändamålet med publiceringen. Exempelvis bör resultatlistor aldrig innehålla fullständiga personnummer. Om en individ begär att bli raderad från en redan publicerad resultatlista bör föreningen ha rutiner för att anonymisera den individens personuppgifter i resultatlistan. Förtydligande: Detta innebär inte att tävlingsanmälan av anonyma deltagare accepteras.

 

MEDLEMSKAP (Till föreningar)

Hur är det för barn och ansökan om medlemskap i förening: måste målsman godkänna för barn upp till 18 år?

Ja, Ingås avtal om medlemskap för personer under 18 år, skall det ske av vårdnadshavare. Avtalet ingås genom att vårdnadshavaren erlägger barnets medlemsavgift och därigenom accepterar villkoren för medlemskap i föreningen. Den lagliga grunden för behandling av barns personuppgifter inom ramen för medlemskap är avtal.

Föreningen måste inte samla in namn på alla som är med på bilderna, men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller individens rättigheter.

När det gäller publicering av barns personuppgifter på hemsida eller sociala medier kan det vara lämpligt att inhämta samtycke från vårdnadshavare.

Måste vi ta in samtycke från alla medlemmar?

Nej, men ni behöver ha en laglig grund för all behandling av personuppgifter. Samtycke är enbart en av flera andra lagliga grunder. Exempelvis är avtal en laglig grund för behandling av personuppgifter inom ramen för medlemskapet.

Kan vi ha kvar våra kontaktlistor till styrelse och ledare på webben?

När det gäller namn och telefonnummer kan det vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att föreningen/förbundets intresse för att publicera kontaktlistorna väger tyngre än intresset av skydd för sina personuppgifter av de personer vars uppgifter är publicerade. Detta resonemang behöver föreningen/förbundet ha dokumenterat.

Om den registrerade invänder mot att uppgifterna publiceras/kommuniceras bör ni upphöra med behandlingen.

Det är föreningen/förbundet som måste påvisa att en intresseavvägning har skett genom dokumentation och behöver säkerställa att alla registrerade individer har fått information om att de finns registrerade i informationsblad, kontaktlistor etc. och varför de finns registrerade där.

SPSF-beslut

VU-Protokoll 2018-3:

Ӥ 9 Personuppgifter

På förekommen anledning bekräftar VU att anmälan till tävling innebär att resultatlista enligt SHB C.4.3.1.10, inklusive för- och efternamn publiceras på internet. I det fall skytt återtar medgivande om publicering, och det är möjligt att ta bort skytten från resultatlistan, utgår också skyttens resultat, standardmedaljer och verifierbara aktivitet.”

Och…

NP 2018-2:

”Namn i resultatlistor

Skjuthandboken, kapitel C.4.3.1.10 ”Resultatlista” gäller, oberoende av GDPR. SHB säger att ”skytts anmälan till tävling innebär medgivande att resultatlista enligt ovan anslås samt publiceras i samtliga media (ex. press, Internet)” I och med anmälan ingår skytten alltså ett avtal om publicering. Med ”resultatlista enligt ovan” menas minst placering, namn, föreningstillhörighet, och resultat på samtliga deltagande skyttar.

Vill arrangör försäkra sig ytterligare kan följande tillägg göras i inbjudan: I och med anmälan medger deltagaren att arrangören, kretsen och SPSF får behandla de personuppgifter som behövs för att administrera tävlingen och redovisa resultatet. Namn, föreningstillhörighet, Klass/vapengrupp, resultat och pistolskyttekortsnummer kan komma att publiceras i samtliga media (ibland annat press, radio, tv och på internet).

Personer som av Skatteverket har getts skyddade personuppgifter vet själva också hur de skall förfara.”