Laglig grund
Det måste alltid finnas en s k laglig grund för att behandla personuppgifter. För Rotarymedlemmar är den lagliga grunden avtalet om medlemskap som finns mellan medlemmen och klubben. Klubben måste hantera vissa personuppgifter för att medlemskapet ska fungera.
En annan laglig grund är samtycke. Det gäller t ex den som anmält sig som prenumerant på nyhetsbrev eller tecknat sig på en frivilliglista. Samtycke kan dras tillbaka och då ska personuppgifterna raderas.
Privacy by default
GDPR är ”Privacy by default”, uppgiftsminimering, dvs så lite som möjligt. Klubben ska därför ha som policy att inte lägga in annat än nödvändiga personuppgifter i CR! Exempelvis namn på partner är en uppgift som inte behövs för att medlemskapet ska fungera. Men medlemmen kan förstås själv fylla på uppgifter i sin profil.
Vad är en personuppgift?
IMY: "Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns."
Observera att GDPR gäller personuppgifter både i digital form och på papper.
Skydda personuppgifterna
Detta gör ni genom att "vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder". Det betyder bl a att tänka på hur klubbens funktionärer hanterar medlemsuppgifter i sina telefoner och datorer, så att uppgifterna inte kommer på avvägar.
Den som inte längre är funktionär i klubben ska inte ha tillgång till mer personuppgifter än vad som finns att tillgå för en vanlig medlem genom inloggning i ClubRunner.
Ändamål för behandlingen
Medlems personuppgifter får behandlas i klubben så att medlemskapet fungerar. Behandling för andra ändamål är inte tillåten, t ex ge ut medlemslista utanför klubben. Behandling för andra ändamål kräver aktivt samtycke från berörda, men samtycke ska administreras och bör därför undvikas.
Före detta medlemmar
När medlemskapet har upphört finns inte längre den lagliga grunden för att lagra och behandla personuppgifterna. Klubben måste därför i sina rutiner för registervård ha avidentifiering av f d medlemmar. Se supportsidan Medlemskap om CR:s funktion Pseudonymisering.
Information om klubbens hantering av personuppgifter
Hänvisa till "Integritetspolicy" som finns på klubbens webbplats. Den nås från sidfoten i alla webbplatsens sidor. Motsvarande länk till distriktets integritetspolicy ser du i den svarta sidfoten på denna sida.
När en extern kontakt (icke-medlem) nyregistreras går det ut ett automatiskt s k integritetsmeddelande. Se supportsidan Externa kontakter.
Registerutdrag
Medlemmen kan själv kan logga in och i sin medlemsprofil kontrollera sina personuppgifter.
Personuppgiftsbiträden
Annan än klubben som bearbetar medlemmarnas personuppgifter kallas för personuppgiftsbiträde. Det kan vara t ex leverantören av ett IT-stöd. Distriktet har tecknat personuppgiftsbiträdesavtal med Infotech Business Center Inc. (leverantören av ClubRunner), vilket gäller även för klubbar som använder ClubRunner. I avtalet garanterar leverantören följsamhet med GDPR både för egen del och för de underleverantörer som den anlitar.