Rättslig grund
Det måste alltid finnas en rättslig grund för att behandla personuppgifter. Den rättsliga grunden för Rotaryklubbar är i första hand avtalet om medlemskap som finns mellan medlemmen och klubben. Klubben måste hantera personuppgifter för att fullgöra avtalet om medlemskap genom att hantera medlemsmatrikel, avgifter, information m m.
En annan rättslig grund är samtycke till att personuppgifter behandlas för ett specifikt ändamål, t ex att vara tecknad på en frivilliglista, eller icke-medlem som är prenumerant på nyhetsbrev. Samtycke kan dras tillbaka och då ska tillhörande personuppgifter raderas.
För överföring av personuppgifter till Rotary International är den rättsliga grunden klubbens berättigade intresse, eftersom klubben genom sin anslutning till Rotary International har skyldighet att anmäla sina medlemmar dit.
Privacy by default
GDPR är ”Privacy by default”, uppgiftsminimering, dvs så lite som möjligt. Klubben ska därför ha som policy att inte lägga in annat än nödvändiga personuppgifter i systemet!
Exempel på en uppgift som inte behövs för att medlemskapet ska fungera är: namn på partner. Men medlemmen kan förstås själv fylla på uppgifter i sin profil . För tydlighets skull bör klubben ha en rutin som anger vilka uppgifter klubben lägger in och underhåller - uppgifter därutöver (som medlemmen själv har lagt in, och därmed samtyckt) är inte klubbens ansvar.
Vad är en personuppgift?
IMY: "Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns."
Observera att GDPR gäller personuppgifter både i digital form och på papper.
Skydda personuppgifterna
Detta gör ni genom att "vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder". Det betyder bl a att tänka på hur klubbens funktionärer hanterar medlemsuppgifter i sina telefoner och datorer, så att uppgifterna inte kommer på avvägar.
Den som inte längre är funktionär i klubben ska inte ha tillgång till mer personuppgifter än vad som finns att tillgå för en vanlig medlem.
Ändamål för behandlingen
Medlems personuppgifter får - baserat på avtalet om medlemskap - behandlas i klubben så att medlemskapet fungerar. Behandling utöver detta är inte tillåten utan aktivt samtycke från berörda, men samtycke ska administreras och bör därför undvikas. Behandling för andra ändamål (än att medlemskapet ska fungera) kan vara t ex ge ut medlemslista utanför klubben, och i sådant fall krävs samtycke från dem som berörs.
Före detta medlemmar
När medlemskapet har upphört och det inte finns något oreglerat mellan klubben och den f d medlemmen, då finns inte längre den rättsliga grunden för att lagra och behandla personuppgifterna. Klubben måste beakta detta i sina rutiner för registervård.
Klubbar som använder ClubRunners klubbversion ska årligen använda funktionen Pseudonymisering (avsnitt på supportsidan Medlemskap), vilket avidentifierar de f d medlemmarna men bevarar statistikunderlag etc.
Klubbar som använder annat än ClubRunner måste också avidentifiera eller radera f d medlemmar.
Information om klubbens hantering av personuppgifter
Hänvisa till Integritetspolicy på klubbens webbplats.
Klubbar som använder ClubRunners klubbversion visar länk i sidfoten i alla klubbens webbsidor. Motsvarande länk till distriktets integritetspolicy ser du i den svarta sidfoten på denna sida.
När en extern kontakt (icke-medlem) läggs upp som ny kontakt i ClubRunner går det ut ett automatiskt s k integritetsmeddelande. Se supportsidan Externa kontakter.
Registerutdrag
Medlemmen kan själv kan logga in och i sin medlemsprofil kontrollera sina personuppgifter (gäller ClubRunner).
Personuppgiftsbiträden
Annan än klubben som bearbetar medlemmarnas personuppgifter kallas för personuppgiftsbiträde. Det kan vara t ex leverantören av ett IT-stöd. Distriktet har tecknat personuppgiftsbiträdesavtal med Infotech Business Center Inc. (leverantören av ClubRunner), vilket gäller även för klubbar med ClubRunners klubbversion. I avtalet garanterar leverantören följsamhet med GDPR både för egen del och för de underleverantörer som den anlitar.
Om klubben köper andra IT-tjänster än ClubRunners, då måste klubben teckna personuppgiftsbiträdesavtal med sina leverantörer och eventuellt uppdatera sin integritetspolicy.
Klubbens avtal för att uppfylla krav enligt GDPR
- Avtal om gemensamt personuppgiftsansvar mellan distriktet och respektive klubb, eftersom klubben och distriktet hanterar delvis samma personuppgifter. Avtalet tydliggör ansvarsfördelningen mellan klubb och distrikt så att det inte ska finnas luckor i tillämpningen av GDPR. Avtalet har tecknats mellan distriktet och varje klubb i distriktet. Se avtalstexten här.
- Personuppgiftsbiträdesavtal med klubbens IT-leverantör.
Distriktet har tecknat avtal som gäller både för distriktet och för klubbar som använder ClubRunners klubbversion. Se distriktets avtal här (innehåll enligt ClubRunners mall). Klubb som använder ClubRunners klubbversion behöver därför inte teckna personuppgiftsbiträdesavtal direkt med ClubRunner.
Andra klubbar måste själva hantera personuppgiftsbiträdesavtal med sina eventuella IT-leverantörer.
