Laglig grund
Det måste alltid finnas en s k laglig grund för att behandla personuppgifter. Den lagliga grunden för Rotaryklubbar är avtalet om medlemskap som finns mellan medlemmen och klubben. Klubben måste hantera vissa personuppgifter för att medlemskapet ska fungera.
En annan laglig grund är samtycke. Det gäller t ex den som anmält sig som prenumerant på nyhetsbrev eller tecknat sig på en frivilliglista. Samtycke kan dras tillbaka och då ska tillhörande personuppgifter raderas.
Privacy by default
GDPR är ”Privacy by default”, uppgiftsminimering, dvs så lite som möjligt. Klubben ska därför ha som policy att inte lägga in annat än nödvändiga personuppgifter i ClubRunner!
Exempel på en uppgift som inte behövs för att medlemskapet ska fungera är: namn på partner. Men medlemmen kan förstås själv fylla på uppgifter i sin profil. För tydlighets skull bör klubben ha en rutin som anger vilka uppgifter klubben lägger in och underhåller - uppgifter därutöver (som medlemmen själv har lagt in) är inte klubbens ansvar.
Vad är en personuppgift?
IMY: "Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns."
Observera att GDPR gäller personuppgifter både i digital form och på papper.
Skydda personuppgifterna
Detta gör ni genom att "vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder". Det betyder bl a att tänka på hur klubbens funktionärer hanterar medlemsuppgifter i sina telefoner och datorer, så att uppgifterna inte kommer på avvägar.
Den som inte längre är funktionär i klubben ska inte ha tillgång till mer personuppgifter än vad som finns att tillgå för en vanlig medlem genom inloggning i ClubRunner.
Ändamål för behandlingen
Medlems personuppgifter får - baserat på avtalet om medlemskap - behandlas i klubben så att medlemskapet fungerar. Behandling utöver detta är inte tillåten utan aktivt samtycke från berörda, men samtycke ska administreras och bör därför undvikas. Behandling för andra ändamål (än att medlemskapet ska fungera) kan vara t ex ge ut medlemslista utanför klubben.
Före detta medlemmar
När medlemskapet har upphört finns inte längre den lagliga grunden för att lagra och behandla personuppgifterna. Klubben måste därför i sina rutiner för registervård avidentifiera f d medlemmar. Se supportsidan Medlemskap om CR:s funktion Pseudonymisering.
Information om klubbens hantering av personuppgifter
Hänvisa till Integritetspolicy som finns på klubbens webbplats. Den nås från sidfoten i alla klubbens webbsidor. Motsvarande länk till distriktets integritetspolicy ser du i den svarta sidfoten på denna sida.
När en extern kontakt (icke-medlem) läggs upp som ny kontakt går det ut ett automatiskt s k integritetsmeddelande. Se supportsidan Externa kontakter.
Registerutdrag
Medlemmen kan själv kan logga in och i sin medlemsprofil kontrollera sina personuppgifter.
Personuppgiftsbiträden
Annan än klubben som bearbetar medlemmarnas personuppgifter kallas för personuppgiftsbiträde. Det kan vara t ex leverantören av ett IT-stöd. Distriktet har tecknat personuppgiftsbiträdesavtal med Infotech Business Center Inc. (leverantören av ClubRunner), vilket gäller även för klubbar med ClubRunners klubbversion. I avtalet garanterar leverantören följsamhet med GDPR både för egen del och för de underleverantörer som den anlitar.
Avtal som behövs enligt GDPR
- Avtal om gemensamt personuppgiftsansvar mellan distriktet och respektive CR-klubb, eftersom klubben och distriktet hanterar delvis samma personuppgifter. Avtalet tydliggör ansvarsfördelningen mellan klubb och distrikt så att det inte ska finnas luckor i tillämpningen av GDPR. Se avtalstexten här.
- Personuppgiftsbiträdesavtal som gäller både för distriktet och för klubbar som använder ClubRunners klubbversion. Se distriktets avtal här (innehåll enligt ClubRunners mall).
