Ledarskap

Kulturens ledarutbildning

Vad behöver du veta för att hantera personuppgifterna i en studiecirkel eller förening?

 

Principer för behandling av personuppgifter

Du och din förening behöver tänka på att behandla medlemmarnas personuppgifter efter följande principer:

  • Ändamålsbegränsning: Samla bara in uppgifter för specifika ändamål och behandla inte uppgifterna senare för ett annat ändamål.
    Exempel: Om du har samlat in uppgifter för att administrera medlemskap får du inte senare använda uppgifterna för marknadsföring till medlemmarna
  • Uppgiftsminimering: Samla bara in de uppgifter som är behövs för ändamålet.
    Exempel: Om du bara behöver namn och telefonnummer för att administrera medlemskap ska du inte passa på att också registrera personnummer för att "det kan vara bra att ha".
  • Korrekthet: Se till att ha korrekta uppgifter och uppdatera dem vid behov.
    Exempel: Ordna lämpliga rutiner för att se till att felaktiga personuppgifter rättas.
  • Lagringsminimering: Spara inte uppgifterna under en längre tid än nödvändigt.
    Exempel: Om en medlem avslutar sitt medlemskap ska du radera medlemmens personuppgifter om uppgifterna inte längre behövs för att administrera eller avsluta medlemskapet.

 

Informera era medlemmar

När du samlar in uppgifter om en medlem måste du informera medlemmen om bland annat följande:

  • vem som är personuppgiftsansvarig och hur man kontaktar den personuppgiftsansvarige (oftast föreningens styrelse)
  • vilka personuppgifter som behandlas (till exempel namn och adress)
  • varför dessa personuppgifter behandlas (för vilket ändamål och med vilken rättslig grund)
  • vilka mottagare som ska ta del av uppgifterna (till exempel en samarbetspartner)
  • om det finns någon tanke på att överföra personuppgifter till ett så kallat tredjeland (land utanför EU/EES). Exempelvis om föreningen använder en tjänst som Mailchimp från USA till sina nyhetsbrev eller lagrar personuppgifterna i en molntjänst utanför Europa. 

Du måste även informera föreningens medlemmar om deras rättigheter. De har bland annat rätt att

  • få tillgång till sina personuppgifter
  • få felaktiga personuppgifter rättade
  • få sina personuppgifter raderade om uppgifterna inte längre är nödvändiga
  • få veta hur länge personuppgifterna kommer att lagras
  • lämna in klagomål till Datainspektionen.

För att uppfylla informationsplikten behöver du och föreningen gå ut med ovanstående information till såväl nya som gamla medlemmar. 

 

Dokumentera arbetet med personuppgifter

Föreningens rutiner för att behandla personuppgifter måste skrivas ner. Detta kallas register över behandling. Registret ska vara skriftligt, tillgängligt i ett elektroniskt format för Datainspektionen och hållas uppdaterat. Registret ska innehålla information om

  • namn och kontaktuppgifter till den personuppgiftsansvarige (oftast styrelsen)
  • varför personuppgifterna behandlas (syftet med behandlingen av personuppgifterna)
  • vilka kategorier av personer och personuppgifter som behandlar (till exempel uppgifter om medlemmar i en kulturförening och deras adress och telefonnummer)
  • eventuella externa mottagare av personuppgifterna och om uppgifterna förs över till ett så kallat tredjeland (land utanför EU/EES)