Gå till innehåll
Visselblåsartjänst
Parasport Västerbotten
Parasport Västerbotten

GDPR

Personuppgifter i idrotten

Inom idrottsrörelsen behandlar vi många olika typer av personuppgifter för att vardagen ska fungera. Från 25 maj 2018 gäller EU:s nya dataskyddsförordning (GDPR) som innebär ett stärkt skydd för enskildas personliga integritet och ställer hårdare krav på hur personuppgifter får behandlas.

I samband med införandet av EU:s dataskyddsförordning (GDPR) har Riksidrottsförbundet (RF) tagit fram en uppförandekod för idrotten. Målet är att skapa en enhetlig behandling av personuppgifter inom idrottsrörelsen och att förenkla den specifika information som förbund och föreningar inom idrottsrörelsen måste känna till.

En grundregel är att vi inom idrottsrörelsen aldrig kan äga våra medlemmars personuppgifter – vi lånar dem.

Inom idrottsrörelsen behandlar vi en stor mängd personuppgifter, alltså uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person. De används bland annat till att hålla ordning i medlemsregister, fördela ekonomiska stöd eller arrangera tävlingar.

Det finns dock särskilda regler för hur dessa uppgifter ska hanteras på ett tryggt och säkert sätt. I slutändan handlar det om att skydda enskilda personers rättigheter. För att behålla människors förtroende är det viktigt att hela idrottsrörelsen följer de regler som finns.

Den uppförandekod som RF tagit fram ska ses som ett komplement till dataskyddsförordningen och kan komma att uppdateras efter samråd med Datainspektion.

Varje förbund eller förening har ett ansvar att informera sina medlemmar om uppförandekoden samt att säkerställa att det finns någonstans dit medlemmar kan rapportera missbruk. Styrelsen är ytterst ansvarig för att koden efterlevs.

För frågor om uppförandekoden eller allmänna frågor om dataskydd, kontakta dataskydd@rf.se.

Att dela uppgifter

Ibland händer det att vi inom idrottsrörelsen måste dela personuppgifter med andra utanför den egna föreningen eller förbundet, ett exempel är vid tävlingar och andra evenemang. Vid sådana tillfällen finns det en del saker vi måste tänka på.

När ett förbund eller förening delar medlemmars personuppgifter med någon annan, till exempel vid tävling, är organisationen som utgångspunkt fortfarande ansvarig för att dessa hanteras på ett laglig och säkert sätt.

För att bedöma vem som är ansvarig för personuppgiftsbehandlingen behöver ni känna till skillnaden mellan personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvar.

Personuppgiftsansvarig är den som bestämmer varför och hur personuppgifter behandlas. Förening och förbund är som utgångspunkt personuppgiftsansvarig vid överföring av uppgifter till exempelvis externa tävlingssystem.

Personuppgiftsbiträde är den som behandlar personuppgifter för den ansvariges räkning. Ett externt tävlingssystem, exempelvis ett tidtagarsystem, är som utgångspunkt personuppgiftsbiträde till tävlingsarrangören. Förening/förbund är ansvarig för att upprätta ett personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden som behandlar personuppgifter för förenings/förbunds räkning.

Gemensamt personuppgiftsansvarig är de organisationer som gemensamt bestämmer hur och varför personuppgifter behandlas. RF/SF/IF är som utgångspunkt gemensamt personuppgiftsansvariga för personuppgifter i IdrottOnline. Vid gemensamt personuppgiftsansvar finns inget krav på personuppgiftsbiträdesavtal.

Personuppgiftsbiträdesavtal ska tecknas när en organisation utgör ett personuppgiftsbiträde och behandlar uppgifter för den ansvariges räkning. Det är den personuppgiftsansvariges ansvar att teckna ett sådant avtal med personuppgiftsbiträdet. Avtalet ska i sin tur uppfylla alla krav i dataskyddsförordningen, läs mer om kraven i instruktionen för personuppgiftsbiträdesavtal under "Utbildning, stöd och mallar" Länk till annan webbplats..

Det är extra känsligt att dela personuppgifter med tredje land Länk till annan webbplats.. Vissa delar av idrottsrörelsen kräver dock tredjelandsöverföringar, till exempel vid internationellt dopingarbete, tävlingar eller scouting. Mer information om överföring av personuppgifter utanför EU finns hos Datainspektionen Länk till annan webbplats..

Ansvar och sanktioner

Riksidrottsförbundet (RF) och alla förbund och föreningar inom idrottsrörelsen har ett ansvar att följa den uppförandekod som RF tagit fram tillsammans med Datainspektionen.

Om inte uppförandekoden följs har Datainspektionen möjlighet att besluta om ekonomiska sanktioner gentemot idrottsrörelsen. Även enskilda personer som lidit skada har rätt till ersättning.

Vid misstanke att koden inte följs ska berört specialidrottsförbund (SF), eller RF om överträdelsen gäller SF, inleda en utredning. Om det visar sig att en förening inte uppfyllt kraven ska föreningen anmälas till bestraffning enligt 14 kap. RF:s stadgar Länk till annan webbplats..

Om det istället är SF som inte uppfyller kraven ska RF uppmana dem att ta nödvändiga åtgärder. Nästa steg är indraget ekonomiskt stöd och som en slutgiltig åtgärd, uteslutning.

Barns personuppgifter

Idrott är i särklass den fritidsaktivitet som lockar flest barn- och ungdomar. Det är viktigt att idrottsrörelsen tar ansvar för att behandling av barns personuppgifter sker på ett tryggt och säkert sätt.

Inom idrottsrörelsen ingås avtal om medlemskap för personer under 18 år av vårdnadshavare. Avtalet ingås genom att vårdnadshavaren erlägger barnets medlemsavgift och därigenom accepterar villkoren för medlemskap i idrottsföreningen. Den lagliga grunden för behandling av barns personuppgifter inom ramen för medlemskap är avtal.

Utgångspunkten vid all behandling av barns personuppgifter är att vårdnandshavaren alltid ska informeras om hur barnets personuppgifter kommer att behandlas.

Barns personuppgifter förtjänar vidare ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skyddsåtgärder och rättigheter. Särskild hänsyn bör därför alltid tas för en säker och trygg hantering av barns personuppgifter. Exempelvis ska personuppgifter tillhörande barn särskilt skyddas mot otillbörlig åtkomst.

Publicering av bilder på barn
När det gäller publicering av material på föreningens hemsida och sociala medier sker det som utgångspunkt med stöd av en intresseavvägning. För det krävs att föreningens intresse av att publicera bilder väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Inför bildpublicering ska föreningen dokumentera sitt resonemang avseende avvägningen mellan föreningens och individernas intressen.

När det gäller publicering av bilder på barn är även samtycke en möjlig laglig grund. RF rekommenderar att idrottsrörelsen inhämtar samtycke från vårdnadshavaren om barnet är under 16 år. Barn över 16 år kan samtycka till publicering av bilder, förutsatt att barnet förstår innebörden och konsekvenserna av samtycket.

Inget material som upplevs kränkande av den som berörs av behandlingen får publiceras, varken på hemsidan eller i sociala medier. Om föreningen tillkännages att något material upplevs som kränkande för individen som berörs av behandlingen, ska materialet omedelbart avpubliceras.

Enskildas rättigheter

Alla som på något sätt engagerar sig inom idrottsrörelsen och väljer att dela med sig av sina personuppgifter har rättigheter. Det är upp till föreningar och förbund att värna om dessa.

I och med GDPR har den enskildes rättigheter stärks och följande punkter samanfattar detta.

Rätt till information
Alla personer har rätt att veta hur deras personuppgifter hanteras inom idrottsrörelsen. Det gäller oavsett hur föreningen eller förbundet har fått tag i uppgifterna. Om de hämtats från en annan källa än personen själv ska denne informeras om detta inom en månad. Den här informationsskyldigheten gäller även när organisationen kontaktar personen i fråga eller delar uppgifterna vidare.

Registerutdrag
Enskilda personer har rätt att få bekräftelse på om och hur deras personuppgifter hanteras inom en särskild organisation och även få tillgång till dem om så är fallet. Alla har också rätt att begära ut ett registerutdrag från sin organisation som innehåller samtliga av dennes personuppgifter de behandlar, samt få en kopia av dessa. Föreningen har också rätt att begära ut ett liknande från sitt förbund för de system och register förbundet hanterar.

Om den registrerade gör sin begärna elektroniskt. ska information tillhandahållas på samma vis.

För begäran om registerutdrag har RF tagit fram en mall Länk till annan webbplats.som kan användas. Om organisationen använder IdrottOnline behöver denna mall inte användas då funktionen tillhanda hålls på "Min sida" i IdrottOnline.

Rätt till rättelse
Alla personuppgifter som behandlas inom idrottsrörelsen ska vara korrekta och rimligt aktuella för ändamålet. Annars ska de rättas. Alla enskilda har rätt att begära ett en felaktig uppgift rättas.

Rätt till radering
Enskilda personer har under vissa förutsättningar rätt att få sina personuppgifter raderade. För att rätt till radering ska aktualiseras krävs att något av följande är uppfyllt:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Rätt till begränsning av användning
Om någon registrerad påpekar ett fel ska dennes rätt till begränsning respekteras under tiden föreningen eller förbundet utreder.

Dataportabilitet
Förening och förbund ska uppfylla den registrerades rätt till dataportabilitet om behandlingen av personuppgifter stödjs på laglig grund samtycke eller avtal. Dataportabilitet kräver även att den registrerade själv har lämnat personuppgifterna till föreningen/förbundet. Detta tillhandahålls inom IdrottOnline om IdrottOnline används som person-/medlemsregister.

Rätt att göra invändningar
I vissa fall har den vars personuppgifter är registrerade hos en förening eller ett förbund rätt att ifrågasätta det, om den lagliga grunden för behandlingen lutar sig på allmänintresse, myndighetsutövning eller intresseavvägning. Då måste organisationen visa att det finns skäl för det som väger tyngre än den enskildes rättigheter, alternativt att det är nödvändigt för att lösa någon rättslig tvist.

Rätt att inte bli föremål för automatiserat beslutsfattande
Inget förbund eller förening ska grunda ett beslut rörande en registrerad individ enbart på någon form av automatiserat beslutsfattande om det kan ha allvarliga, till och med rättsliga följder, för den det gäller. Undantaget är om det finns något typ av avtal som ska uppfyllas.

Grundprinciper

Dataskyddsförordningen består i huvudsak av sju grundprinciper som gäller för all behandling av personuppgifter. Dessa kan verka krångliga och svårtolkade, därför har RF beskrivit i vilka sammanhang de är relevanta för idrotten.

Laglighet, skälighet och transparens
Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den person som registreras. För idrottsrörelsen betyder det att varje typ av behandling ska baseras på en giltig laglig grund, till exempel att det finns ett avtal eller att uppgiften är av allmänt intresse. Läs mer om laglig grund i uppförandekoden Länk till annan webbplats..

Det är också viktigt att vara tydlig och transparent med alla inblandade om när, hur och var man lagrar eller använder personuppgifter.

Ändamålsbegränsning
Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare plötsligt behandlas på något annat vis. Det innebär exempelvis att personuppgifter som samlas in för ändamålet anmälan till tävling inte i ett senare sked får behandlas för direkt marknadsföring. Om personuppgifterna ska behandlas för andra ändamål krävs att individen har fått information om det och att det finns en laglig grund för ytterligare behandling.

Uppgiftsminimering
Personuppgifter som behandlas inom idrottsrörelsen ska vara rimliga, relevanta och inte onödigt detaljerade i förhållande till vad de är till för. Konkret innebär uppgiftsminimering att idrottsrörelsen inte ska samla in mer uppgifter än vad som behövs för ändamålet med behandlingen.

Riktighet
Personuppgifter som behandlas inom idrottsrörelsen ska vara korrekta och uppdaterade, om nödvändigt. Det innebär att den som behandlar personuppgifter måste vidta rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål, exempelvis när den registrerade begär rättelse av felaktiga personuppgifter.

Lagringsbegränsning
Personuppgifter får inte lagras längre än nödvändigt. När de inte längre behövs ska de antingen raderas eller avidentifieras. Uppgifter får inte sparas för att "de är bra att ha". Uppgifter om tidigare medlemmar får sparas upp till 24 månader, för att ge möjlighet att värva tillbaka denne.

Integritet och sekretess
Personuppgifter ska inom idrottsrörelsen alltid lagras på ett säkert sätt och förbund och föreningar bör införa en del saker för att säkerställa det. Det innefattar bland annat en rad krav på tekniska säkerhetsåtgärder, som du kan läsa mer om i koden.

"Accountability" - Redovisande av efterlevnad
Alla förbund och föreningar ska löpande dokumentera sitt arbete med en säker hantering av personuppgifter. Dessa ska också föra register över vilka, var och på vilket sätt personuppgifter hanteras inom organisationen och kunna visa upp det vid behov.

För att underlätta det här arbetet har RF tagit fram en rad olika mallar Länk till annan webbplats..

Hur påverkas idrotten?

Personuppgifter används inom förbund och föreningar för att bland annat registrera medlemskap, arrangera tävlingar, hantera licenser, fördela stöd och utbilda. Nedan förklaras vilka uppgifter som samlas in och hur de rekommenderas användas.

Medlemskap
Förbund och föreningar behandlar medlemmarnas personuppgifter för att administrera förenings- och förbundstillhörighet, medlemskap, statistik och forskning, utbildningar, utmärkelser, bestraffningsärenden med mera.

Kategorier av personuppgifter kan variera, men exempelvis namn, kontaktuppgifter, personnummer, uppgifter om medlemskap eller konto- och betalningsinformation.

Tävling
Förbund och föreningar arrangerar tävlingsverksamhet, då behandlas personuppgifter. Det kan ske vid uttagning, kallelse, inbjudan till tävling, registrering samt t.ex. liverapportering och resultatlistor.

Personnummer behövs för att resultat ska kunna registreras och kopplas till en specifik tävlande. Flera idrotter har också försäkring kopplat till sin registrering, då är identifiering nödvändig. Uppgifterna kan variera, men det som normalt behandlas är namn, personnummer, kontaktuppgifter, konto- och betalningsinformation, uppgifter om medlemskap och kön.

Licenshantering
Vissa förbund behandlar personuppgifter för att administrera tävlingslicenser. Det görs också statistikuppföljning på antal licenser eller antal licenser per kön eller åldersintervall.

De personuppgifter som behandlas i licenshanteringen kan variera, men är normalt namn, kontaktuppgifter, personnummer, uppgifter om medlemskap, kön, funktionsnedsättning samt typ av tävlingslicens.

Fördelning av stöd
Personuppgifter används till att fördela och kontrollera bidrag och stöd till idrottsverksamhet. Stöden kan fördelas i stimulansstöd, projektstöd, organisationsstöd och aktivitetsstöd. I samband med inkomna ansökningar, fördelning av de ekonomiska stöden samt kontroll behandlas personuppgifter.

De personuppgifter som kan behandlas inom ramen för fördelning av statligt stöd är namn, kontaktuppgifter, personnummer eller annat identifikationsnummer samt medlemstillhörighet.

Utbildning
Föreningar, specialidrottsdistriktsförbund, distriktsorganisationer, SISU Idrottsutbildarna och förlaget SISU Idrottsböcker behandlar personuppgifter i utbildningsverksamhet.

De personuppgifter som behandlas inom ramen för utbildning kan variera, men är vanligen namn, personnummer, kön, kontaktuppgifter, konto- och betalningsinformation samt medlemskoppling.

Särskilda frågor

Personuppgifter i ostrukturerat material
I den nya dataskyddsförordningen har undantaget för det som kallas ostrukturerat material tagits bort. Behandling av personuppgifter i till exempel e-post, ordbehandlings- och kalkylprogram innefattas alltså också av reglerna. Det är varje förening och förbunds skyldighet att säkra en trygg och laglig hantering av personuppgifter även i ostrukturerat material. För att underlätta detta har RF har tagit fram en instruktion Länk till annan webbplats..

Behandling av känsliga personuppgifter
Idrottsrörelsen ska inte hantera personuppgifter som faller utanför ramen för vad som är rimligt och nödvändigt. Det är som utgångspunkt förbjudet att samla uppgifter om ras, etniskt ursprung, politiska åsikter, religionstillhörighet eller uppgifter om hälsa och sexualliv. Det finns dock flera undantag från förbudet, läs mer på Datainspektionen Länk till annan webbplats..

Exempelvis är det tillåtet med uppgifter om funktionsnedsättning gällande personer som utövar parasport. Inom ramen för antidopingarbetet är det tillåtet med vissa uppgifter om hälsa.

Precis som vid all personuppgiftsbehandling måste den som behandlar känsliga personuppgifter alltid följa de grundläggande principerna, ha en laglig grund för behandlingen samt uppfylla övriga bestämmelser i dataskyddsförordningen och kompletterande nationell lagstiftning Länk till annan webbplats.. Känsliga uppgifter ska alltid behandlas med försiktighet, exempelvis ska endast de personer som behöver ha tillgång till uppgifterna ha det.

Personnummer och samordningsnummer
Personnummer och samordningsnummer får behandlas inom idrottsrörelsen då det är nödvändigt att säkert kunna identifiera individer. Det är särskilt viktigt vid bidragsfördelning men även i samband med tävling, licenshantering och tillträdesförbud.

Övriga idrottsområden
Det finns vissa frågor som många inom idrottsrörelsen aldrig behöver fundera över, där undantag eller särskilda regler gäller. Det kan till exempel röra bestraffningsärenden, matchfixing, antidoping och ordningsstörningar.

Bestraffningsärenden
Personer som bryter mot stadgar och regelverk inom idrotten kan straffas. Då kan det vara nödvändigt för förbund och föreningar att behandla personuppgifter.

Bestraffningsärenden kan exempelvis vara aktuella om en medlem i ett förbund eller förening exempelvis

  • inte betalat årsavgiften
  • anmält sig till tävling och uteblivit
  • deltagit i tävling under avstängning
  • uppträtt förolämpande mot deltagare eller funktionärer
  • gjort sig skyldig till skadegörelse eller utövat våld

De personuppgifter som får behandlas inom ramen för bestraffningsärenden är namn, kontaktuppgifter, medlemsnummer, personnummer, information om anledningen till den aktuella bestraffningen samt uppgifter om medlemskap.

Matchfixing
För att utreda misstänkt matchfixning får personuppgifter samlas in och delas mellan föreningar, förbund, internationella förbund, nationella och internationella spelbolag och deras spelmyndigheter, rättsvårdande myndigheter samt RF.

De personuppgifter som får behandlas är namn, kontaktuppgifter, föreningstillhörighet samt personnummer.

Antidoping
Sverige har skrivit under både Europarådets konvention mot doping och UNESCO:s konvention mot doping inom sport. För att antidopingsarbetet ska kunna bedrivas effektivt förekommer viss behandling av personuppgifter till följande ändamål:

  • handläggning av dispens av medicinska skäl för dopingklassade läkemedel
  • vistelserapportering för cirka 250 idrottsutövare för att kunna genomföra oanmälda dopingkontroller
  • dopingkontroller med urin- och blodprov
  • resultathantering av dopingkontrollerna och eventuell efterföljande utredning
  • underrättelse och utredning för att upptäcka och utreda misstänkt doping.

En lång rad personuppgifter får behandlas inom ramen för antidopingarbete. Läs mer i uppförandekoden.

Ordningsstörningar
För att motverka brott och ordningsstörningar i samband med idrottsevenemang kan personer identifieras, avvisas och tilldelas tillträdesförbud eller arrangörsavstängning. För att detta ska vara möjligt behandlar vissa förbund och föreningar uppgifter om personer som anmälts för eller meddelats tillträdesförbud.

Endast de som på förhand samrått med Datainspektionen har tillgång till register över tillträdesförbud. De personuppgifter som får behandlas inom ramen för motverkande av ordningsstörningar är namn, lagtillhörighet, personnummer och bild.

Utbildning, stöd och mallar

RF:s mål är att vara bästa möjliga stöd för idrottsrörelsen. Vi arbetar efter devisen att det ska vara lätt att göra rätt. Därför har RF tagit fram en rad olika mallar, stöd och andra verktyg som beskriver de scenarion som är specifika för idrotten.

Det finns så klart också mycket bra information på annat håll att ta del av. SISU Idrottsutbildarna erbjuder också utbildningar i många distrikt för föreningar som har det behovet. För frågor - ta kontakt med ert eget SISU-distrikt. Länk till annan webbplats.

Sök en utbildning hos något av våra SISU-distrikt Länk till annan webbplats.

Publicerad:

Uppdaterad: