FAQ
Fråga:
Är det ok att begära personnummer från medlemmarna?
Vi använder BAS-K.
Svar:
Ni får registrera personnummer om ni behöver det.
All behandling av personuppgifter måste ha ett ändamål för att vara laglig. Dvs behöver ni personnummer för ett specifikt ändamål så får ni registrera detta.
Om ni använder BAS eller inte har ingen inverkan på just den här frågan. SBU använder inte personnummer och därför finns inget centralt/gemensamt ändamål att registrera personnummer.
Fråga:
Måste vi ha medgivande från alla medlemmar för vårt medlemsregister?
Svar:
Nej. Medgivande är en av flera lagliga grunder för behandling av personuppgifter. Ett medlemsregister vilar på ett par av de andra grunderna:
- för att uppfylla avtal (medlemskapet är ett avtalsförhållande mellan föreningen och medlemmen).
- den registrerades intresse (för att medlemmen skall få full nytta av sitt medlemskap måste föreningen veta att hen är medlem).
Fråga:
Vad räknas som en personuppgift enligt GDPR?
Svar:
En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person. Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person. Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ.
En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.
Fråga:
Vad räknas som en personuppgiftsbehandling enligt GDPR?
Svar:
En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling.
Fråga:
Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?
Svar:
GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.
Fråga:
Om en medlem hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?
Svar:
Rätten att bli bortglömd gäller bara om:
- uppgifterna inte längre behövs för de ändamål som de samlades in för
- behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
- behandlingen grundar sig på en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse.
- personuppgifterna har behandlats olagligt.
- den registrerade invänder mot behandling för direktmarknadsföringsändamål.
En medlem kan inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla ett avtal eller en rättslig skyldighet. En medlem kan alltså inte begära att registrerade personuppgifter raderas så länge personen är medlem (medlemsavtalet gäller). Ett annat exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.
Fråga:
Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mail?
Svar:
Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot så får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen. Undvik därför att ta med personnummer på fakturan.
Fråga:
Vad innebär det att en person har rätt till dataportabilitet?
Svar:
En medlem som har lämnat sina personuppgifter till klubben har rätt att få ut sina personuppgifter i elektronisk form och använda uppgifterna på annat håll. Båtklubben som tagit emot personuppgifterna är alltså skyldig att underlätta en sådan överflyttning av personuppgifter. Detta kommer sannolikt att bli vanligast om en person vill flytta sina uppgifter från ett socialt nätverk till ett annat, t ex gmail, dropbox, onedrive, twitter osv. Klubben är alltså skyldig att göra detta på begäran, men sannolikheten att få sådan begäran är troligen ganska liten.
Fråga:
Behöver föreningar/förbund teckna personuppgiftsbiträdesavtal för användadet av BAS (Båtunionens AdministrationsSystem)?
Frågan är inte helt utredd ännu:
Vi tittar på om vi är gemensamt personuppgiftsansvariga för behandlingen inom BAS. Det kan vara så att biträdesavtal behövs. Om så är fallet måste vi ta fram ett likalydande avtal för alla klubbar. Vi bedömer att vi inte klarar den administration som skulle krävas att följa upp över 900 avtal.