RĂ€ttslig grund
Det mÄste alltid finnas en rÀttslig grund för att behandla personuppgifter. Den rÀttsliga grunden för Rotaryklubbar Àr i första hand avtalet om medlemskap som finns mellan medlemmen och klubben. Klubben mÄste hantera personuppgifter för att fullgöra avtalet om medlemskap genom att hantera medlemsmatrikel, avgifter, information m m.
En annan rÀttslig grund Àr samtycke till att personuppgifter behandlas för ett specifikt ÀndamÄl, t ex att vara tecknad pÄ en frivilliglista, eller icke-medlem som Àr prenumerant pÄ nyhetsbrev. Samtycke kan dras tillbaka och dÄ ska tillhörande personuppgifter raderas.
För överföring av personuppgifter till Rotary International Àr den rÀttsliga grunden klubbens berÀttigade intresse, eftersom klubben genom sin anslutning till Rotary International har skyldighet att anmÀla sina medlemmar dit.
Privacy by default
GDPR Ă€r âPrivacy by defaultâ, uppgiftsminimering, dvs sĂ„ lite som möjligt. Klubben ska dĂ€rför ha som policy att inte lĂ€gga in annat Ă€n nödvĂ€ndiga personuppgifter i systemet!
Exempel pÄ en uppgift som inte behövs för att medlemskapet ska fungera Àr: namn pÄ partner. Men medlemmen kan förstÄs sjÀlv fylla pÄ uppgifter i sin profil . För tydlighets skull bör klubben ha en rutin som anger vilka uppgifter klubben lÀgger in och underhÄller - uppgifter dÀrutöver (som medlemmen sjÀlv har lagt in, och dÀrmed samtyckt) Àr inte klubbens ansvar.
Vad Àr en personuppgift?
IMY: "Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande Àr att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Typiska personuppgifter Àr personnummer, namn och adress. Bilder pÄ och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter Àven om inga namn nÀmns."
Observera att GDPR gÀller personuppgifter bÄde i digital form och pÄ papper.
Skydda personuppgifterna
Detta gör ni genom att "vidta lÀmpliga tekniska och organisatoriska sÀkerhetsÄtgÀrder". Det betyder bl a att tÀnka pÄ hur klubbens funktionÀrer hanterar medlemsuppgifter i sina telefoner och datorer, sÄ att uppgifterna inte kommer pÄ avvÀgar.
Den som inte lÀngre Àr funktionÀr i klubben ska inte ha tillgÄng till mer personuppgifter Àn vad som finns att tillgÄ för en vanlig medlem.
ĂndamĂ„l för behandlingen
Medlems personuppgifter fÄr - baserat pÄ avtalet om medlemskap - behandlas i klubben sÄ att medlemskapet fungerar. Behandling utöver detta Àr inte tillÄten utan aktivt samtycke frÄn berörda, men samtycke ska administreras och bör dÀrför undvikas. Behandling för andra ÀndamÄl (Àn att medlemskapet ska fungera) kan vara t ex ge ut medlemslista utanför klubben, och i sÄdant fall krÀvs samtycke frÄn dem som berörs.
Före detta medlemmar
NÀr medlemskapet har upphört och det inte finns nÄgot oreglerat mellan klubben och den f d medlemmen, dÄ finns inte lÀngre den rÀttsliga grunden för att lagra och behandla personuppgifterna. Klubben mÄste beakta detta i sina rutiner för registervÄrd.
Klubbar som anvÀnder ClubRunners klubbversion ska Ärligen anvÀnda funktionen Pseudonymisering (avsnitt pÄ supportsidan Medlemskap), vilken avidentifierar de f d medlemmarna men bevarar statistikunderlag etc.
Klubbar som anvÀnder annat Àn ClubRunner mÄste ocksÄ avidentifiera eller radera f d medlemmar.
Information om klubbens hantering av personuppgifter
HÀnvisa till Integritetspolicy pÄ klubbens webbplats.
Klubbar som anvÀnder ClubRunners klubbversion visar lÀnk i sidfoten i alla klubbens webbsidor. Motsvarande lÀnk till distriktets integritetspolicy ser du i den svarta sidfoten pÄ denna sida.
NÀr en extern kontakt (icke-medlem) lÀggs upp som ny kontakt i ClubRunner gÄr det ut ett automatiskt s k integritetsmeddelande. Se supportsidan Externa kontakter.
Registerutdrag
Medlemmen kan sjÀlv kan logga in och i sin medlemsprofil kontrollera sina personuppgifter (gÀller ClubRunner).
PersonuppgiftsbitrÀden
Annan Àn klubben som bearbetar medlemmarnas personuppgifter kallas för personuppgiftsbitrÀde. Det kan vara t ex leverantören av ett IT-stöd. Distriktet har tecknat personuppgiftsbitrÀdesavtal med Infotech Business Center Inc. (leverantören av ClubRunner), vilket gÀller Àven för klubbar med ClubRunners klubbversion. I avtalet garanterar leverantören följsamhet med GDPR bÄde för egen del och för de underleverantörer som den anlitar.
Om klubben köper andra IT-tjÀnster Àn ClubRunners, dÄ mÄste klubben teckna personuppgiftsbitrÀdesavtal med sina leverantörer och vid behov uppdatera sin integritetspolicy.
Klubbens avtal för att uppfylla krav enligt GDPR
- Avtal om gemensamt personuppgiftsansvar mellan distriktet och respektive klubb, eftersom klubben och distriktet hanterar delvis samma personuppgifter. Avtalet tydliggör ansvarsfördelningen mellan klubb och distrikt sÄ att det inte ska finnas luckor i tillÀmpningen av GDPR. Avtalet har tecknats mellan distriktet och varje klubb i distriktet. Se avtalstexten hÀr.
- PersonuppgiftsbitrÀdesavtal med klubbens IT-leverantör.
Distriktet har tecknat avtal som gÀller bÄde för distriktet och för klubbar som anvÀnder ClubRunners klubbversion. Se distriktets avtal hÀr (innehÄll enligt ClubRunners mall). Klubb som anvÀnder ClubRunners klubbversion behöver dÀrför inte teckna personuppgiftsbitrÀdesavtal direkt med ClubRunner.
Andra klubbar mÄste sjÀlva hantera personuppgiftsbitrÀdesavtal med sina eventuella IT-leverantörer.
