Orienterare.nu

Tiomila

Orienteringskartan

WOC 2016

SOFT

O-snack

Aktuell tråd

Personuppgiftshantering i klubbar

madcap 2017-02-01 16:25

Det här kanske är att väcka en sovande björn ...

Hur gör ni i era klubbar med personuppgifter? Har ni i er klubb låtit medlemmarna lämna någon form av medgivande om att deras personuppgifter ska hanteras på något visst sätt?

Det är idag i princip ett måste att ha alla klubbens (aktiva) medlemmar i Idrott Online, för att kunna söka LOK-stöd och för att kunna anmäla till tävlingar via Eventor. Men även om man inte använder Idrott Online så är det ju fråga om hantering av personuppgifter, för ett medlemsregister måste ju klubben ha.

Skriv ett inlägg

Skriv ditt inlägg här...

Skriv 1981 i rutan

Inlägg

K 2017-04-10 15:04 #20

Det kommer ske förändringar.....
http://www.rf.se/Allanyheter/2016/idrottenhotasavokadekostnaderrfhoppaspalosning?

FF 2017-03-13 09:12 #19

Svar till inlägg av V.A.Kant, 2017-02-05 00:32:

Det handlar ytterst om civilt samhällsskydd. Var tacksam att någon tar tag i det. Själv har jag lurat Trump så gott jag kumnat senaste 20 åren genom vilseledande och försiktigt beteende på nätet. Nästan lika länge varit ansvarig för klubbens data. Det ör jobbigt och trist men nödvändigt att skydda befolkningen.

08 2017-02-16 16:16 #18

RF vill analysera vilka idrotter som är dyrast och frågade min klubb om utskick. Ansvarig för medlemsregistret ställde frågan tillbaka till RF om hur det skulle hanteras i enlighet med PuL. RFs representant visste inte.. Känns som om medvetandet och kompetensen måste höjas hos RF.

Nils Regel 2017-02-06 14:40 #17

Det här handlar om lagstiftning, alltså en fråga för våra politiker i riksdagen. Nivån på lagstiftningen brukar ta slut där politikerns kompetensnivå slår i taket, alternativt där inga mer röster kan fiskas. Lättja ska inte heller underskattas, jobbigt att ge sig på google och facebook.

Och så har vi tjänstemännen som bara gör sitt jobb...

Ta bara exemplet med nyheten igår om ett nässprej som kunde häva överdoser. Tjänstemannen på läkemedelsverket tyckte att det var en mycket bra medicin men regelverket tillåter den inte, politikerna måste först ändra lagen. Läkarna vädjar till tjänstemännen på Läkemedelsverket att se mellan fingrarna, men nej, några hundra till ska dö, reglerna ska följas! Enligt lagen kan receptbelagd medicin inte delas ut till tredje part.

http://www.svt.se/nyheter/inrikes/nasspray-kan-radda-liv-stoppas-av-lakemedelsverket

BjornG 2017-02-06 09:47 #16

Svar till inlägg av PS, 2017-02-06 09:34:

Än värre med riktade "nyhetslänkar" - det är inte integritetskränkande, utan något mycket värre...

...antigen så silas det mygg och sväljs kameler, eller så får vi se vårt åklagarväsen ge sig på google-facebook-etc?

PS 2017-02-06 09:34 #15

Svar till inlägg av 08, 2017-02-06 08:26:

Det känns som om myndigheterna gör det extra svårt för ideella föreningar samtidigt som bolag som tex Google vet mer om oss än denna typ av register någonsin kan bidra med enbart genom att utnyttja till synes osammanhängande data som flödar runt på internet. Denna information säljer de sedan till dem som vill sända riktad reklam som kanske redan har avgjort allmänna val. Där kan man börja tala om integritetskränkande register.

08 2017-02-06 08:26 #14

Svar till inlägg av j, 2017-02-05 08:19:

Det hjälper nog inte mot lagens långa arm och de bötesbelopp det snackas om. Däremot känns det viktigt att SOFTs anställda lär sig vad som gäller och dessutom påverkan av alla våra system. Det handlar ju inte bara om Idrotten Online utan även Eventor, OLA, MeOS, rapportering LOK, presentation av elitlöpare, pressreleaser och deltagarlistor inför möten eller utbildningar.

j 2017-02-05 08:19 #13

Vi kan väl alla skaffa oss alternativa namn som vi kan använda när vi springer orientering. Ja, det kan ju förresten användas i massa andra sammanhang också när vi ändå har det. Sen kan ju vårt riktiga namn förvaras i något kassaskåp någonstans.

V.A.Kant 2017-02-05 00:32 #12

Det här måste vara en diskussion som bara förekommer i landet Sverige. Varför läser jag det här? Måste skaffa mig en hobby.

Pulan 2017-02-03 22:54 #11

Svar till inlägg av J Balck, 2017-02-03 22:22:

Fast det hela är så konstigt. Ställer du upp i en idrottstävling med nödvändig information på nätet, t ex en anmälningslista eller startlista, men också resultat, vilket är ganska naturligt i en idrottstävling (det kan ju inte direkt komma som nån överraskning) så har man ju gett sig in i den valfria leken, eller? Det kan inte vara idrottsvärlden man vill sätta åt med PUL eller nya datalagen utan personuppgiftsinformation som man inte själv gjort något som helst aktivt val att dela med sig av, eller där det inte finns något incitament för personuppgiftsansvarig att publicera uppgifterna offentligt, t ex om du köper en tågbiljett och SJ skulle publicera alla dina resor offentligt. Då åker SJ dit på det.

J Balck 2017-02-03 22:22 #10

Jag kan nämna några delar som man måste ha med sig inför nya lagen, vilken träder i kraft under nästa år. Det första är att samtycke ska vara uttryckligt, dvs en bock på en webb duger inte i framtiden eftersom samtycke måste vara väldigt mycket tydligare.

En annan del är att grund för behandling och behandlingsställe måste vara tydligt, samt inom ramen för personuppgiftsansvariges uppdrag. Här kan man fundera över om RF (pga IdrottenOnline) kan ta in samtycke för medlemskap i föreningar eller deltagande i tävlingar.

Missbruksregeln försvinner, vilket innebär att man inte kan ha personuppgifter i löpande text m.m. Detta kan komma att påverka användning i rankinglistor, startlistor och resultatlistor.

Den som är Personuppgiftsansvarig måste alltså specificera ändamål för behandling samt behandlingsställe. Här finns en stor utmaning för IdrottenOnline, Eventor, LiveLox och andra kopplingar till där personuppgifter utbyts.

När får man behandla personuppgifter? Det är när det finns en rättslig grund för behandling. I orienteringens och idrottens värld finns det troligen två alternativ, dels när det har lämnats samtycke eller när det är ett ingånget avtal som styr. Intresseavvägning lär med stor sannolikhet inte vara aktuellt i framtiden och det fjärde skälet som personuppgiftsansvarig kan lyfta är rättslig skyldighet och den går inte att applicera i orienteringens värld.

För den som är intresserad av historik och notera att den gången granskade Datainspektionen bara användning av personnummer. De var dock ganska kritiska;
http://www.datainspektionen.se/Documents/beslut/2014-06-16-rf.pdf

Till sist, vad är då en personuppgift när nya lagen träder i kraft. Ja, det är inte tydligt specificerat, men det är inte personnummer utan det kan vara en bild på en person eller kombination av namn och klubb. Grunden är att man med hjälp av uppgiften kan identifiera en person. Vi får se var det landar i slutänden, men det kan bli en stor omställning för hela svenska idrottsrörelsen i dess hantering av personuppgifter.

J Balck 2017-02-02 18:42 #9

Svar till inlägg av madcap, 2017-02-02 09:18:

Det beror troligen på att RF är osäker hur helheten med IdrottenOnline ska hanteras. Precis som nämnts tidigare, Personuppgiftansvaret måste troligen analyseras djupare. Kan skriva lite mer utförligt om oklarheter och riktlinjer senare ikväll.

L 2017-02-02 09:21 #8

Svar till inlägg av Elge, 2017-02-02 08:50:

PUL kommer 2018 att ersättas av den nya Dataskyddsförordningen. Detta kan förändra förutsättningarna något. Men det är ju ett tag dit: http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/forberedelser-for-personuppgiftsansvariga/

madcap 2017-02-02 09:18 #7

Det jag sakat när jag läst, bland annat hos RF, är mer konkret vad klubben behöver göra. Till exempel på exakt hur samtycke eller information om personuppgiftshantering ska formuleras eller om man behöver eller inte behöver utse en personuppgiftsansvarig och vilket ansvar rollen innebär. Kan man som ansvarig bli personligen skyldig till något om klubbens hantering är fel? Behöver klubben ha en underskrift från varje medlem att medlemmen samtycker? Vad ska i så fall stå i texten som medlemmen skrivit under? Jag tänker mig något i stil med "Undertecknad godkänner härmed att Klubben OK får behandla mina personuppgifter ... bla bla bla".

Elge 2017-02-02 08:50 #6

Förutom RB:s informativa text här nedan hittar man bra information till exempel hos Svensk idrott:
http://www.svenskidrott.se/Juridik/Foreningskunskap/Foreningskunskap/Personuppgiftslagen-safunkarden?
Eller genom att googla "PUL idrottsföreningar"

RB 2017-02-02 08:28 #5

Jag tror mig kunna vara en av de orienterare som ml syftar på efter att ha varit personuppgiftsansvarig på RF. För Idrottonline, och därmed Eventor eftersom personuppgifterna till huvudsak är lagrade i Idrottonline, gäller att personuppgiftsansvarig för Idrottonline täcker klubbarnas uppgifter i Eventor. För egna register som förs utanför Idrottonline och Eventor bör man nog i sin medlemsansökan bifoga en text som innebär att man vid ansökning om medlemsskap lämnar sitt medgivande enligt PUL. Även här ska klubben ha en personuppgiftsansvarig men det gäller som sagt troligen bara egna register (om man nu har något behov av ett sådant).

För övrigt finns det en alldels utmärkt text på idrottonline som tar upp detta: http://idrottonline.se/OmIdrottOnline/Personuppgiftslagen/

B 2017-02-01 21:51 #4

Svar till inlägg av ml, 2017-02-01 19:47:

Bra förslag.
CPUA skall nog vara en myndighet, bolag, eller dylikt och knappast en förening, det låter rimligt.
Sedan kan man ju skriva personuppgiftsbiträdesavtal med alla föreningarna (och deras lokala personuppgiftsansvariga). Och så vidare...

Men det är mycket byråkrati om ingen kräver det, så det är bra om man först tar reda på om det behövs för ett medlemsregister i en idrottsförening som man frivilligt är med i.

ml 2017-02-01 19:47 #3

Det finns minst en orienterare som är en av de mest kunniga i Sverige på det här området. Jag har förstått att man måste först utreda vem som är personuppgiftsansvarig och vad jag förstått av en liten diskussion så är det troligen RF eller ev SOFT, men inte föreningen när det gäller våra centrala register.

B 2017-02-01 17:04 #2

Det bör räcka med att man informeras (vem skulle tro att klubben saknar ett digitalt medlemsregister) om att man behöver finnas i Eventor för att kunna anmäla sig, att man ska meddela sin epostadress, telefon och personnummer för att bli registrerad medlem. Betald medlemsavgift bör väl noteras i bokföringen osv.

Ingen blir väl tvingad till medlemskap, utan man "ansöker".

Sedan finns möjligen "opt out" som en metod at hantera den som inte vill, eller kan ha sina uppgifter offentliga. Men då får man be om en manuell hantering från klubbens sida samt kanske låta bli att tävla annat än "klubblös" öppna banor?

Tuna 2017-02-01 16:31 #1

http://storatuna.nu/information-om-lagring-av-personuppgifter/

Senast kommenterat

Tisdag 16/4

15:16

Recensioner TV-sändning från Orienteringstävlingar