BEHANDLING AV PERSONUPPGIFTER. Uppförandekod för idrottsrörelsen

Relevanta dokument
INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PERSONUPPGIFTSBITRÄDESAVTAL

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Dataskyddsförordningen i utbildningsverksamhet

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Register över behandlingar där föreningen är personuppgiftsansvarig. Förbundsadministration

Personuppgiftsbiträdesavtal

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Dataskyddsförordningen 2018

Kontaktuppgifter finns på

GDPR. Dataskyddsförordningen

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskyddsförordningen 2018

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Dataskyddsförordningen GDPR

Idrottens Uppförandekod

GDPR- Seminarium 2017

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Instruktion till mall för registerförteckning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

förbundet är personuppgiftsansvarig eller personuppgiftsbiträde. Förbundsadministration

Policy för behandling av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

Föreningen är skyldig att föra ett register över behandling av personuppgifter där föreningen är personuppgiftsansvarig eller personuppgiftsbiträde.

Registerförteckning IBK Dalen

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Mertzig Asset Management AB

Föreningen Norden Personuppgiftspolicy

INTEGRITETSPOLICY GDPR. KKKKs integritetspolicy för personuppgifter inom idrotten enligt EU:s nya dataskyddsförordning GDPR

Förbundsadministration

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

PuL och GDPR en översiktlig genomgång

Riktlinjer för att tillvarata enskildas rättigheter

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Register över behandlingar där föreningen är personuppgiftsansvarig. Falu Tennisklubb Fastighets AB (nedan angivet ftk ab )

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Information om behandling av personuppgifter på Tellus bostadsrättsförening

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Integritetspolicy för behandling av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

SVENSKA BÅGSKYTTEFÖRBUNDET MEMBER OF SVERIGES RIKSIDROTTSFÖRBUND AND WORLD ARCHERY

Personuppgiftsbiträdesavtal

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Personuppgiftsbehandling Dataskydd

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Registerförteckning Pixbo Gymnastikförening

Förbundsadministration

PERSONUPPGIFTSBITRÄDESAVTAL

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Registerförteckning. Personuppgiftsansvarig förening: ÅKERSBERGA IBF Ackers, org nr: , C/O Spetz, Ymervägen 1, ÅKERSBERGA

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Personuppgiftsbiträdesavtal

Instruktion för att tillvarata enskildas rättigheter

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Svensk författningssamling

EU:s dataskyddsförordning

Remissvar Ny dataskyddslag, SOU 2017:39, Ju2017/04264/L6

Register över behandlingar där föreningen är personuppgiftsansvarig. Föreningsadministration

Välkomna till kurs i den nya dataskyddsförordningen

Registerfo rteckning fo r Hallands Fotbollfo rbund

För att tillvarata medlemmarnas enskildas rättigheter

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Registerförteckning OV Helsingborg HK

Säkerhetspolicy rev. 0.1

INTEGRITETSPOLICY för Webcap i Sverige AB

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Strand Kapitalförvaltning AB:s integritetspolicy

SVENSKA GYMNASTIKFÖRBUNDETS INTEGRITETSPOLICY

PUL OCH DATASKYDDSFÖRORDNINGEN

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR General data protection regulation Dataskyddsförordningen

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Åstorp/Kvidinge Innebandysällskap

Personuppgiftsinformation för Svedala kommun

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Föreningen är skyldig att föra ett register över behandling av personuppgifter där föreningen är personuppgiftsansvarig eller personuppgiftsbiträde.

GDPR Presentation Agenda

Information om behandling av personuppgifter

Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen

Transkript:

BEHANDLING AV PERSONUPPGIFTER Uppförandekod för idrottsrörelsen

Uppförandekoden är föremål för löpande översyn för att säkerställa att beskrivningarna av gällande lagstiftning är korrekta och att uppförandekoden möter gällande lagkrav samt medlemmarnas krav avseende personuppgiftsbehandling. Riksidrottsförbundet är ansvarig för att uppdatera uppförandekoden vid behov, inklusive att koordinera godkännandeprocessen med Datainspektionen. Datum för senaste uppdateringen, 14 februari 2018.

Innehållsförteckning 1. Bakgrund... 4 1.1 Syfte... 4 1.2 Tillämpningsområde och omfattning... 4 1.3 Tillsyn och efterlevnad... 4 1.4. Information och internt ansvar... 4 2. Definitioner... 6 3. Införande av uppförandekod... 7 4. Grundläggande principer... 8 4.1. Introduktion... 8 4.2. Översikt över de grundläggande principerna... 8 4.3. Laglighet, skälighet, transparens... 9 4.4. Ändamålsbegränsning... 9 4.5. Uppgiftsminimering... 9 4.6. Riktighet... 9 4.7. Lagringsbegränsning... 9 4.8. Integritet och sekretess... 9 4.9. Redovisande av regelefterlevnad Accountability... 10 5. Laglig grund för personuppgiftsbehandling inom idrottsrörelsen... 10 5.1. Avtal... 10 5.2. Rättslig förpliktelse... 10 5.3. Uppgift av allmänt intresse... 12 5.4. Myndighetsutövning... 12 5.5. Intresseavvägning... 13 5.6. Samtycke... 13 7. Överföring av personuppgifter... 19 7.1. Överföring av personuppgifter till andra organisationer... 19 7.2. Tredjelandsöverföringar... 19 8. Enskildas rättigheter... 19 8.1. Allmänt... 19 8.2. Rätt till information... 19 8.3. Registerutdrag... 19 8.4. Rätt till rättelse och radering... 20 8.5. Rätt till begränsning av behandling... 20 8.6. Dataportabilitet... 20 8.7. Rätt att göra invändningar... 20 8.8. Rätt att inte bli föremål för automatiserat beslutsfattande... 20 9. Särskilda frågor... 22 9.1. Personuppgifter i ostrukturerat material... 22 9.2. Barns personuppgifter... 22 9.3. Behandling av särskilda kategorier av uppgifter... 22 9.4. Personnummer och samordningsnummer... 22 10. Ansvar och sanktioner... 23 10.1 Ansvar... 23 10.2 Sanktioner... 23 6. Typer av personuppgiftsbehandling inom idrottsrörelsen... 15 6.1. Medlemskap... 15 6.2. Tävling... 15 6.3. Licenshantering... 15 6.4. Fördelning av stöd... 16 6.5. Utbildning... 16 6.6. Bestraffningsärenden enligt RF:s stadgar... 16 6.7. Matchfixing... 16 6.8. Antidoping... 17 6.9. Ordningsstörningar... 17

4 1. Bakgrund Riksidrottsförbundet ( RF ) är paraplyorganisation inom den svenska idrottsrörelsen. Idrottsrörelsen består av drygt 3 miljoner medlemmar i ca 20 000 idrottsföreningar som i sin tur är medlemmar i ett eller flera av 71 nationella specialidrottsförbund. Respektive specialidrottsförbund är medlem i RF och idrottsrörelsens studieförbund SISU Idrottsutbildarna. För att stödja, utbilda och organisera idrottsrörelsens verksamhet finns även regionala distriktsidrottsförbund, distriktsstudieförbund och specialidrottsdistriktsidrottsförbund. Dessutom finns på nationell nivå Sveriges Olympiska Kommitté. Organisationerna under RF betecknas nedan gemensamt som Medlemmarna. Enligt artikel 40 i EU:s dataskyddsförordning (data skyddsförordningen) får organisationer som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utarbeta uppförandekoder i syfte att specificera hur dataskyddsförordningen ska tillämpas inom en viss bransch. RF ser antagandet och godkännandet av en uppförandekod som en möjlighet att specificera hur Medlemmarna ska tillämpa dataskyddsförordningens bestämmelser i praktiken. Mot bakgrund av ovan har denna uppförandekod (Uppförandekoden). 1.1. Syfte Att säkerställa en säker och lagenlig hantering av personuppgifter är en viktig fråga för RF. RF och Medlemmarna behandlar en stor mängd per sonuppgifter, vilket även kan innefatta känsliga uppgifter om exempelvis hälsa, brott samt uppgifter om barn. Felaktig hantering av dataskyddsfrågor kan innebära såväl ett hot mot enskildas personliga integ ritet som förlorat förtroende och påföljder för RF och dess Medlemmar i sina respektive roller som per sonuppgiftsansvariga och personuppgiftsbiträden. Syftet med Uppförandekoden är att underlätta för RF:s och Medlemmarnas olika verksamhetsområden vid behandlingen av personuppgifter. 1.2. Tillämpningsområde och omfattning lagstiftning föreskriver striktare krav avseende behandling av personuppgifter, gäller alltid sådana krav före vad som anges i denna uppförandekod. Uppförandekoden är inte uttömmande och redogör därför inte nödvändigtvis för alla krav och skyldigheter som RF och dess Medlemmar kan omfattas av vid behandling av personuppgifter. 1.3. Tillsyn och efterlevnad Anslutning till Uppförandekoden är ett villkor för medlemskap i RF. Tillsyn över efterlevnad av bestämmelserna i Uppförandekoden görs löpande och vid kännedom om eller risk för oegentligheter, och därtill görs en särskild granskning en gång varje år i samband med den generella granskningen. Vid misstanke om överträdelse av denna kod ska berört SF eller, om misstanken rör SF, RF initiera en utredning om överträdelsen enligt vad som framgår av avsnitt 10 jämte RF:s stadgar. 1.4. Information och internt ansvar Varje Medlem är ansvarig för att göra denna uppförandekod känd för anställda, ideella och externa uppdragstagare inom organisationen. Varje Medlem ska även säkerställa att det finns en rapporteringsfunktion för att anställda, ideella och externa uppdragstagare ska kunna rapportera överträdelser av denna Uppförandekod till ansvarig/-a inom Medlemmen. En sådan rapporteringsfunktion kan även omfatta flera Medlemmar eller grupper av Medlemmar, såsom idrottsspecifika sammanslutningar av Medlemmar. Styrelsen inom respektive Medlem är övergripande ansvarig för att denna Uppförandekod följs av alla anställda, ideella och externa uppdragstagare inom medlemsorganisationen. För övrig information angående sanktioner och ansvar, se avsnitt 10. För frågor gällande denna Uppförandekod eller övriga frågor som är relaterade till dataskydd, vänligen kontakta dataskydd@rf.se. Denna Uppförandekod gäller för RF samt alla Medlemmar som ett komplement till dataskyddslagen och dataskyddsförordningen. I den mån tvingande

5

6 2. Definitioner Annan mottagare Behandling Dataskyddsförordningen Personuppgifter Personuppgiftsansvarig Personuppgiftsbiträde Registrerad Tredje part Underbiträde En annan part som den personuppgiftsansvarige lämnar uppgifter till och som behandlar personuppgifter för sin egen räkning, t.ex. WADA. En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, identifikationsnummer, lokaliseringsuppgifter, onlineidentifikatorer eller faktorer som är specifika för en persons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Den som behandlar personuppgifter för den Personuppgiftsansvariges räkning. Den fysiska person som en personuppgift avser. Någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning på uppdrag av den personuppgiftsansvariges personuppgiftsbiträde, t.ex. en underleverantör till personuppgiftsbiträdet.

7 3. Införande av uppförandekod RF och dess Medlemmar behandlar en stor mängd personuppgifter om exempelvis idrottsutövare, funktionärer och ledare. Uppförandekoden ska tillse att RF och dess Medlemmar lever upp till kraven enligt dataskyddsförordningen. Det finns även en förväntan från de registrerade vars uppgifter behandlas av RF och Medlemmarna på att de registrerades rätt till skydd av den personliga integriteten tillgodoses. Överträdelser av regelverken på området kan ytterst leda till att RF och dess Medlemmar drabbas av omfattande sanktioner och förlorat förtroende. RF och dess Medlemmar har därför genom Riksidrottstyrelsens ( RS ) samt SISU Förbunds styrelsens ( FS ) styrelsebeslut godkänt innehållet i denna Uppförandekod och gemensamt antagit denna Uppförandekod.

8 4. Grundläggande principer 4.1. Introduktion I detta avsnitt beskrivs de grundläggande principer som ska gälla för alla typer av behandlingar av personuppgifter som utförs inom RF:s och Medlemmarnas verksamheter. Den praktiska innebörden av dessa principer utvecklas i följande avsnitt. 4.2. Översikt över de grundläggande principerna Det måste finnas en laglig grund för behandlingen. Den registrerade ska informeras om behandlingen. Laglighet, skälighet, transparens Organisationer ska kunna visa att förordningens krav uppfylls, t. ex. genom dokumenterade beslut. Interna policys och vidtagna säkerhetsåtgärder. Redovisande av efterlevnad Ändamålsbegränsning Personuppgifterna får endast behandlas för specifika och uttryckliga ändamål. Ändamålen kan skilja per verksamhetsområde (utveckling, administration etc.). Integritet och sekretess Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifterna. Uppgiftsminimering Endast de personuppgifter som behövs för att uppfylla ändamålet med behandlingen får behandlas. Personuppgifterna får bara sparas så länge det behövs för att uppfylla ändamålet med behandlingen. Lagringsminimering Riktighet De personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade.

9 4.3. Laglighet, skälighet, transparens Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. För RF och Medlemmarna innebär detta att varje typ av behandling ska baseras på en giltig laglig grund, så som fullgörande av avtal eller uppgift av allmänt intresse. Laglig grund behandlas närmare i avsnitt 5. RF och Medlemmarna ska därtill alltid ge de registrerade tydlig och transparent information avseende behandlingen av personuppgifter.rerade tydlig och transparent information avseende behandlingen av personuppgifter. 4.4. Ändamålsbegränsning Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. 4.5. Uppgiftsminimering Personuppgifter som behandlas av RF eller Medlemmarna ska vara adekvata, relevanta och inte allt för omfattande i förhållande till ändamålen. 4.6. Riktighet Personuppgifter som behandlas av RF eller Medlemmarna ska vara korrekta och om nödvändigt uppdaterade. 4.7. Lagringsbegränsning Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras. Att lagra personuppgifter endast för att de kan vara bra att ha är inte tillåtet eftersom det strider mot principen om uppgiftsminimering, vilken ska förhindra lagring av överflödig information. Riktlinjer för lagring av personuppgifter om tidigare medlem i Medlemmar är att sådan lagring får ske upp till 24 månader efter att medlemskapet avslutats för att kunna värva tillbaka en tidigare medlem. Lagring kan ske i Medlems verksamhetssystem såsom exempelvis IdrottOnline, GIT och Fogis. För de system som Förbund levererar till Förening ansvarar Förbund för att till Medlemmarna tillhandahålla information om hur personuppgifter bör lagras i systemen. Lagring kan även ske i andra externa system såsom bokföringssystem och övriga administrativa system. För sådana system ansvarar varje Medlem själv för att tillse att lagringen begränsas så långt möjligt. Information som inte måste lagras för att leva upp till lagkrav såsom bokföring-, skatterättsligeller arbetsrättslig lagstiftning ska exempelvis raderas om ändamålet med behandlingen är att uppfylla en rättslig förpliktelse. Personuppgifter kan slutligen även lagras utanför system, i dokument såsom protokoll, tävlingsanmälningar m.m. För sådan behandling av personuppgifter ansvarar varje Medlem. Här bör utgångspunkten vara att protokoll och övriga dokument ska raderas om dokumenten inte måste lagras på grund av lagkrav, förenings- eller förbundsadministrativa skäl eller för att föra statistik. 4.8. Integritet och sekretess 4.8.1. Allmänt Personuppgifter ska av RF och Medlemmarna alltid behandlas på ett sätt som säkerställer lämplig säkerhet med användning av tekniska eller organisatoriska åtgärder. RF och Medlemmarna ska alltid behandla uppgifter om enskildas personliga förhållanden konfidentiellt. 4.8.2. Krav på tekniska säkerhetsåtgärder IT- och informationssäkerhetspolicy RF och varje Medlem är skyldig att implementera en IT- och informationssäkerhetspolicy som mer i detalj fastställer innebörden av de åtgärder som upptas i denna punkt. Mall för enkel IT- och informationssäkerhetspolicy har tagits fram av RF. Privacy by design och privacy by default Kraven i dataskyddsförordningen på privacy by design och privacy by default innebär bland annat att antalet uppgifter som RF och Medlemmarna behandlar ska minimeras till vad som är absolut nödvändigt för att uppfylla ändamålen och att IT-systemens förhandsinställningar ska vara de mest integritetsvänliga möjliga. Arbetet med anpassning av de verksamhetssystem som Förbund tillhandahåller ska utföras av Förbund i samarbete med eventuella systemleverantörer för att samtliga Medlemmars system ska uppfylla dataskyddsförordningens krav på privacy by design och privacy by default. Behörighetskontroll RF och Medlemmarna ska säkerställa att behörighetskontroll används för de system som innehåller personuppgifter i de fall aktuella system tillåter sådana.

10 Loggning I de fall de system som används av RF och Medlemmarna tillåter loggning ska åtkomst till personuppgifter i RF:s och Medlemmarnas system kunna följas upp i efterhand genom loggar, där det ska framgå vem som har haft åtkomst samt tidpunkten för åtkomsten. Åtkomstskydd Datorutrustning och dylikt som innehåller personuppgifter ska förvaras så att obehörig åtkomst försvåras och inte lämnas framme. Om inlåsning inte är möjlig ska andra möjliga åtgärder vidtas för att förhindra att obehörig åtkomst sker. Ett godtagbart alternativt till inlåsning är kryptering. Skydd mot extern åtkomst RF:s och Medlemmarnas IT-system ska vara skyddade mot extern åtkomst så långt som möjligt med hänsyn till aktuella IT-system, Medlems storlek och organisation m.m. Sådant skydd kan exempelvis uppnås genom brandväggar eller skyddade överföringar. Pseudonymisering och anonymisering I de fall pseudonymisering och anonymisering är möjliga och lämpliga åtgärder ska pseudonymisering och anonymisering tillämpas för att skydda de personuppgifter som behandlas av RF och Medlemmarna. 4.8.3. Krav på organisatoriska säkerhetsåtgärder RF och varje Förbund ska organisera sig på ett lämpligt sätt för att säkerställa att bestämmelserna i denna Uppförandekod och enligt lag uppfylls genom tillhandahållande av malldokument och andra hjälpmedel. 4.8.4. Incidenthantering RF och Medlemmarna ska ha en åtgärdsplan för hantering, identifiering, utvärdering och begränsning av personuppgiftsincidenter, inbegripet rapportering till tillsynsmyndighet inom de tidsramar som följer av lag. 4.9. Redovisande av regelefterlevnad Accountability RF och Medlemmarna ska åtminstone fortlöpande dokumentera de implementerade och planerade processer och åtgärder som avser dataskyddsfrågor. Vidare ska RF och Medlemmarna föra register över alla typer av behandling av personuppgifter som utförs, och kunna redovisa ett sådant register för såväl externa parter som tillsynsmyndigheten när så krävs enligt lag. För att säkerställa redovisande av regelefterlevnad har malldokument såsom registerförteckning, instruktion för behandling av personuppgifter samt andra typer av hjälpmedel och malldokument tagits fram av RF för användning av Medlemmarna. 5. Laglig grund för personuppgiftsbehandling inom idrottsrörelsen RF och Medlemmarna behandlar en stor mängd personuppgifter inom sin verksamhet. Behandling av personuppgifter får endast ske om det finns en laglig grund för behandlingen. Nedan redovisas de lagliga grunder som bedömts vara tillämpliga för de ändamål för vilka RF och Medlemmarna behandlar personuppgifter. 5.1. Avtal Avtal kan användas som rättslig grund för RF och Medlemmarnas behandling av personuppgifter i syfte att administrera medlemskap i föreningar och förbund samt för tävlings- och licensadministration. 5.2. Rättslig förpliktelse I riktlinjerna avseende statens bidrag till idrotten ska RF i en särskild rapport återrapportera en redovisning till regeringen bland annat innehållande information kring deltagare i aktiviteter förenade med LOK-stöd uppdelat på ålder och kön. Vidare ska informationen bland annat belysa effekter av arbetet för integration och jämställdhet. Informationen ska vidare påvisa en utveckling över tid och därför ska det senaste året redovisas samt en jämförelse med motsvarande information från de två föregående åren. För att uppfylla dessa krav på återredovisning är det avgörande för RF att kunna föra statistik över medlemmar.

11

12 I enlighet med ordningslagen (1993:1617) samt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ska den som anordnar en allmän sammankomst eller offentlig tillställning svara för att det råder god ordning vid sammankomsten eller tillställningen. För att uppfylla god ordning har arrangören rätt att bestämma vem som ska få vistas där. Idrottsrörelsen använder ett system med förbud i vissa fall för personer att under viss tid besöka idrottsevenemang, så kallad arrangörsavstängning. Dessa förbud meddelas med stöd av vad som brukar benämnas arrangörsrätten. För att arrangören ska kunna fullgöra sitt åtagande att tillse god ordning behöver arrangören behandla personuppgifter avseende de personer som tilldelats arrangörsavstängning. 5.3. Uppgift av allmänt intresse Den personuppgiftsbehandling som utgör ett direkt led i främjandet av idrottsutövning, eller som har annan naturlig anknytning till idrottsverksamheten, är nödvändig för att utföra en uppgift av allmänt intresse 1. Att idrottsrörelsen och den allmännyttiga ideella verksamheten är av allmänt intresse har slagits fast av riksdagen i ett flertal beslut. Av propositionen En idrottspolitik för 2000-talet - folkhälsa, folkrörelse och underhållning framgår att den folkrörelsebaserade idrottsrörelsen, med sin demokratiska uppbyggnad, sitt breda engagemang och sina ideella ledarkrafter är en mycket stor tillgång för vårt samhälle och skapar mer än någon annan verksamhet tillfällen till möten och motionsaktiviteter för människor i olika åldrar och med olika social och etnisk bakgrund. Aktiva och ledare av båda könen kan genom positiva insatser verka som förebilder för unga människor och bidra till att de skapar sig en egen identitet. Idrottsrörelsen kommer att vara en stor tillgång för vårt samhälle även på 2000-talet. 2 Idrottsrörelsen som en av de största folkrörelserna är en viktig del av civilsamhället. Av propositionen En politik för det civila samhället framgår att det är omöjligt att föreställa sig den svenska demokratin med grundstenar som allmän och lika rösträtt, jämställdhet mellan könen, och offentlighetsprincipen, utan den kamp för människor fört utifrån sitt ideella engagemang. Den svenska demokratins historia är till stora delar det civila samhällets historia. Därför bör den framåtblickande politiken för det civila samhället vara grundad i medvetenhet om och ett erkännande av dess historiska betydelse för demokratin. 3 Mot bland annat den bakgrunden har riksdagen beslutat att målen för politiken för det civila samhället är att villkoren för det civila samhället som en central del av demokratin ska förbättras. 4 Ett exempel på lagstiftarens syn på allmännyttiga ideella föreningar såsom utförande av uppgifter av allmänt intresse är det undantag från inkomstskatt som infördes år 1977. Av propositionen framgår bland annat att ideella föreningar kännetecknas av att enskilda personer samverkar för att främja sådana ändamål som i regel utan vidare brukar anses allmännyttiga. Just denna på det enskilda initiativet grundade form av samverkan har ett betydande värde för vårt samhällsliv. Det betonades särskilt att värdet inte bara ligger i att de ideella föreningarna förbättrar livsvillkoren för stora persongrupper och därigenom utgör ett värdefullt komplement till det allmännas insatser. Ett minst lika stort värde har själva föreningsarbetet, det vill säga det förhållande att enskilda personer frivilligt och ofta utan ersättning samverkar för att lösa olika ideella uppgifter. Skattelagstiftningen bör därför utformas så att den inte motverkar förekomsten av ett vitalt föreningsliv. 5 Även i EUF-fördraget lyfts idrottens särart fram. I artikel 165:1 står att unionen ska bidra till att främja europeiska idrottsfrågor och ska då beakta idrottens specifika karaktär, dess strukturer som bygger på frivilliga insatser samt dess sociala och pedagogiska funktion. 6 För ändamål såsom att föra statistik över resultat och rekord är det av stor betydelse att personuppgifter kan behandlas även efter att medlemskap avslutats. Avtal är därför inte en lämplig rättslig grund för all behandling av personuppgifter som utförs inom ramen för idrottsrörelsen eftersom detta skulle innebära att behandling av personuppgifter inte får utföras efter att medlemskapet upphört. Det är av stor vikt för idrottsrörelsen att kunna föra statistik över resultat och rekord. Denna personuppgiftsbehandling är nödvändigt för att utföra en uppgift av allmänt intresse. 5.4. Myndighetsutövning RF fördelar och kontrollerar statsbidrag till idrottsverksamhet enligt lagen (1995:361) om överlämnande av förvaltningsuppgifter till Sveriges Riksidrottsförbund. Stöden kan övergripande fördelas inom områdena stimulansstöd, projektstöd, organisationsstöd och aktivitetsstöd. Inom samtliga områden kan behandling av personnummer förekomma utifrån hur föreskrifterna för stödet är utformat. För att personuppgiftsbehandling som ett led i myndighetsutövning ska kunna tillämpas som rättslig grund krävs att RF:s behandling av personuppgifter avseende fördelning av exempelvis statligt lokalt aktivitetsstöd (LOK-stöd) anses utgöra ett led i myndighetsutövning. Myndighetsutövning karaktäriseras av beslut eller andra ensidiga åtgärder mot enskilda som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. I förarbetena till lagen (1995:361) om överlämnande

13 av förvaltningsuppgifter till Sveriges Riksidrottsförbund framgår att regeringen gjort bedömningen att Riksidrottsförbundets verksamhet med att fördela statsbidrag till den organiserade idrottsrörelsen utgör myndighetsutövning. I riktlinjerna avseende statens bidrag till idrotten ska RF i en särskild rapport återrapportera en redovisning till regeringen bland annat innehållande information kring deltagare uppdelat på ålder och kön. Vidare ska informationen bland annat belysa effekter av arbetet för integration och jämställdhet. Informationen ska därtill påvisa en utveckling över tid och därför ska det senaste årets redovisning jämföras med motsvarande information från de två föregående åren. För att uppfylla dessa krav på återredovisning är det avgörande för RF att kunna föra statistik över medlemmar. 5.5. Intresseavvägning Tillämpning av intresseavvägning som rättslig grund är inte i stort en framkomlig väg för RF och Medlemmarna med beaktande av att utförandet av intresseavvägningar vid behandling av personuppgifter är alltför betungande för ideella föreningar att utföra med hänsyn till den arbetsbörda ett sådant arbete skulle medföra. Även om ett berättigat intresse enligt dataskyddsförordningens mening föreligger ska en intresseavvägning särskilt ta hänsyn till om den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Med ledning av Artikel 29-gruppens uttalande om att intresseavvägningen ska ta hänsyn till ett flertal faktorer, såsom det berättigade intresset, konsekvenserna av behandlingen för den registrerade, personuppgifternas känslighet, typ av behandling och vilka åtgärder som vidtagits för att skydda personuppgifterna samt att den registrerades inställning och om denne motsatt sig behandlingen ska tas i beaktande vid genomförandet av en intresseavvägning är det inte lämpligt för RF och Medlemmarna att stödja behandling av personuppgifter på intresseavvägning som laglig grund. I vissa undantagsfall, såsom exempelvis marknadsföring från Medlemmar, kan emellertid behandling stödjas på intresseavvägning som laglig grund om ingen annan grund är tillämplig. 5.6. Samtycke I undantagsfall kan samtycke behöva inhämtas för behandling av personuppgifter inom idrottsrörelsen. Samtycke är emellertid i stort inte en lämplig rättslig grund för RF och Medlemmarna vid behandling av personuppgifter som utförs inom ramen för svensk allmännyttig idrottsverksamhet. Att administrera samtyckesinhämtning, ändringar och eventuella återkallelser innebär vidare en mycket stor arbetsbörda för Medlemmarna. I regel bör därför samtycke undvikas som laglig grund när det är möjligt att grunda behandlingen på en annan laglig grund. Observera att ett samtycke inte ska betraktas som frivilligt om det inte finns någon verklig eller fri valmöjlighet eller om den enskilde inte utan problem kan vägra eller dra tillbaka samtycket. Om behandling är nödvändig för att den registrerade ska kunna delta inom RF:s eller Medlems verksamhet, ska samtycke till nödvändig behandling anses vara frivilligt. 1 Artikel 6.1 e dataskyddsförordningen samt SOU 2017:39 s. 126 2 Regeringens proposition En idrottspolitik för 2000-talet - folkhälsa, folkrörelse och underhållning, 1998/99:107, s. 36. 3 Regeringens proposition En politik för det civila samhället, 2009/10:55, s. 24. 4 Regeringens proposition En politik för det civila samhället, 2009/10:55, s. 44. 5 Regeringens proposition Om ändrade regler för beskattning av ideella föreningar med mera, 1976/77:135, s. 71. 6 Artikel 165.1 EUF-fördraget.

14

15 6. Typer av personuppgiftsbehandling inom idrottsrörelsen RF bedriver bland annat administrativ föreningsoch förbundsverksamhet, bidragsfördelning till idrottsverksamhet samt antidopingarbete. Medlemmarna bedriver motsvarande administrativa verksamheter inom sina respektive idrottsområden alternativt regionala eller lokala områden. Det innefattar bland annat administration av tränings- och tävlingstillfällen, medlemsavgifter och aktivitetstillfällen samt kommunikation med medlemmar. Flera av Medlemmarna samarbetar även med Polismyndigheten för att motverka brott och ordningsstörningar i samband med idrottsevenemang samt för att motverka matchfixning. En sammanställning av respektive organisationsleds behandling av personuppgifter framgår av Bilaga 1. Inom alla RF:s organisationsled är behovet av att behandla personuppgifter stort för att uppfylla verksamheternas ändamål. Ändamålen redovisas nedan i detta avsnitt. 6.1. Medlemskap RF och Medlemmarna behandlar personuppgifter avseende registrerade medlemmar i syfte att administrera förenings- och förbundstillhörighet, medlemskap, statistik och forskning, utbildningar, utmärkelser med mera. Personuppgifter behandlas även till exempel för att för att kunna handlägga bestraffningsärenden och överklagande av beslut som inte avser bestraffningsärende enligt 14 och 15 kap. RF:s stadgar. De personuppgifter som behandlas inom ramen för medlemskap kan variera utifrån Medlemmarnas avtalsutformning men kan exempelvis bestå av namn, kontaktuppgifter, personnummer, uppgifter om medlemskap samt konto- och betalningsinformation. 6.1.1. Laglig grund Behandling av personuppgifter inom ramen för administration av medlemskap i Medlem kan stödjas på avtal med den registrerade som laglig grund. Behandling av personuppgifter tillhörande medlemmar i Medlem för statistik- och forskningsändamål kan stödjas på uppgift av allmänt intresse som laglig grund. Den behandling av personuppgifter tillhörande medlem i Medlem som utförs inom ramen för den aktuella Medlemmens fördelning av statliga bidrag eller annars följer av uppdrag eller riktlinjer men inte kan anses utgöra myndighetsutövning, såsom bland annat återrapporteringskrav, kan stödjas på rättslig förpliktelse som laglig grund.mål. Ändamålen redovisas nedan i detta avsnitt. 6.2. Tävling RF och Medlemmarna behandlar personuppgifter inom sin tävlingsverksamhet samt för administrationen av registrering av tävlande. Vid registrering av tävlande kan personuppgifter importeras/exporteras från IdrottOnline. För sådan registrering behandlas även personnummer. Anledningen till behandlingen av personnummer är att resultat ska kunna kopplas till en specifik tävlande och kunna registreras. Vidare är det flera idrotter som har en försäkring kopplat till sin registrering varav unik identifiering med koppling till ett eventuellt försäkringsärende är nödvändig. Personuppgifter behandlas inom ramen för tävling vid uttagning, kallelse och inbjudan till tävling samt vid registrering. Utöver behandlingen av personuppgifter vid registreringsprocessen behandlas personuppgifter vid varje tävlingstillfälle genom datainsamling under tävling såsom livescoring, överföring och exponering i TV och digitala skärmar, samt behandling av personuppgifter efter tävling såsom resultatlistor, statistik, tabellhantering och spridning av data till åskådare, media, deltagare m.fl. Personuppgifterna behandlas då utifrån till exempel anmälan, resultatrapportering eller löpande rankingpoängsrapportering. De personuppgifter som behandlas inom ramen för tävlingar kan variera utifrån Medlemmarnas specifika verksamhet. De kategorier av personuppgifter som i normalfallet behandlas inom ramen för tävlingar är främst namn, personnummer, kontaktuppgifter, konto- och betalningsinformation, uppgifter om medlemskap, kön. 6.2.1. Laglig grund Behandling av personuppgifter inom ramen för idrottstävlingar kan stödjas på avtal samt uppgift av allmänt intresse som laglig grund. 6.3. Licenshantering Vissa av Förbunden behandlar personuppgifter inom administration av tävlingslicenser. Utöver detta görs löpande statistikuppföljning inom ett förbund på antal licenser eller per fördefinierade mätetal såsom till exempel antal licenser per ett visst åldersintervall eller kön. De personuppgifter som behandlas inom ramen för licenshantering kan variera utifrån Medlemmarnas avtalsutformning och specifika verksamhet. I normalfallet behandlas namn, kontaktuppgifter,

16 personnummer, uppgifter om medlemskap, kön, funktionsnedsättning samt tävlingslicens inom ramen för licenshantering. 6.3.1. Laglig grund Behandling av personuppgifter inom ramen för licenshantering får stödjas på avtal samt uppgift av allmänt intresse som laglig grund. För den behandling av särskilda kategorier av personuppgifter som utförs inom ramen för utfärdande och administration av paralicenser utgör uppgift av viktigt allmänt intresse ett giltigt undantag från förbudet att behandla särskilda kategorier av personuppgifter. 6.4. Fördelning av stöd RF och Medlemmarna behandlar personuppgifter i syfte att fördela och kontrollera statsbidrag till idrottsverksamhet enligt lagen (1995:361) om överlämnande av förvaltningsuppgifter till Sveriges Riksidrottsförbund. RF behandlar personuppgifter och då även personnummer i samband med kontroll, inkomna ansökningar samt fördelning av de ekonomiska stöden till idrottsverksamhet. Stöden kan övergripande fördelas inom områdena stimulansstöd, projektstöd, organisationsstöd och aktivitetsstöd. Inom samtliga områden kan behandling av personnummer förekomma utifrån hur föreskrifterna för stödet är utformat. De personuppgifter som kan behandlas inom ramen för fördelning av statligt stöd är namn, kontaktuppgifter, personnummer eller annat identifikationsnummer samt medlemstillhörighet. 6.4.1. Laglig grund Behandling av personuppgifter inom ramen för fördelning av statligt stöd får stödjas på rättslig förpliktelse som laglig grund. Behandlingen av personnummer eller annat identifikationsnummer är klart motiverad med hänsyn till ändamålen med behandlingen, såsom att återrapportera fördelning av statligt stöd och föra statistik över sådant stöd. 6.5. Utbildning Vissa av Medlemmarna behandlar personuppgifter inom ramen för sina utbildningsverksamheter, vilka utgör såväl föreningar, specialidrottsdistriktsförbund, distriktsorganisationer samt av själva studieförbundsdelen och förlaget SISU Idrottsböcker. De personuppgifter som får behandlas inom ramen för utbildning är namn, personnummer, kön, kontaktuppgifter, konto- och betalningsinformation samt medlemskoppling. 6.5.1. Laglig grund Behandling av personuppgifter om deltagare i folkbildningsverksamheten som utförs av SISU Idrottsutbildarna och som är nödvändig för fördelning och redovisning av statsbidrag till folkbildning kan utföras med stöd av uppgift av allmänt intresse. Övrig utbildningsverksamhet kan stödjas på avtal med den registrerade eller samtycke som lagliga grunder. 6.6. Bestraffningsärenden enligt RF:s stadgar Enligt RF:s stadgar kan en medlem i någon av Medlemmarna bestraffas om denne bryter mot stadgarna eller andra idrottens regelverk. Även andra juridiska ärenden och tvister kan omfattas av RF:s stadgar och regleras även dessa av detta avsnitt. För sådana ärenden kan behandling av personuppgifter vara nödvändig. Så kan vara fallet om medlemmen underlåtit att inom förelagd tid betala stadgad avgift, anmält sig till tävling och utan giltiga skäl uteblivit, deltagit i tävling under avstängning, uppträtt förolämpande mot deltagare, funktionär, gjort sig skyldig till skadegörelse eller utövat våld, eller den som genom osanna uppgifter eller på annat sätt vilselett eller försökt vilseleda, eller utövat otillbörlig påverkan mot enskild eller organisation för dennes idrottsliga verksamhet. De personuppgifter som får behandlas inom ramen för bestraffningsärenden är namn, kontaktuppgifter, medlemsnummer, personnummer, information om anledningen till den aktuella bestraffningen samt uppgifter om medlemskap. 6.6.1. Laglig grund Behandling av personuppgifter tillhörande medlemmar inom ramen för bestraffningsärenden och andra ärenden enligt RF:s stadgar kan stödjas på avtal med den registrerade som laglig grund. 6.7. Matchfixing RF och vissa Medlemmar arbetar tillsammans med Polismyndigheten och andra berörda myndigheter och aktörer för att motverka spridningen av matchfixing i Sverige. Ändamålet för att behandla personuppgifter i samband med anti-matchfixingarbetet är att reda ut om personer inom svensk idrott har överträtt idrottens regelverk och/eller allmän lag. Det övergripande syftet är att motverka och förebygga match fixing. Flödet av personuppgifter går mellan Medlemmar till/från internationella förbund inklusive tredjelandsöverföring, nationella och internationella spelbolag och deras spelmyndigheter, rättsvårdande myndigheter samt RF.

17 De personuppgifter som får behandlas inom ramen för att utreda misstänkt matchfixning är namn, kontaktuppgifter, föreningstillhörighet samt personnummer. 6.7.1. Laglig grund Behandling av personuppgifter inom ramen för RF och Medlemmars anti-matchfixingarbete kan stödjas på uppgift av allmänt intresse som laglig grund. 6.8. Antidoping RF och Medlemmarna behandlar personuppgifter inom ramen för sitt arbete mot doping. Sverige har undertecknat och ratificerat såväl Europarådets konvention mot doping som UNESCO:s konvention mot doping inom sport. Sverige har därmed åtagit sig att stödja och underlätta för svenska idrottsföreningar att leva upp till kraven och reglerna i världsantidopingkoden. RF:s Antidopingavdelning ( ADA ) är en operativ enhet som leds och koordineras av den oberoende Dopingkommissionen. För att ADA ska kunna bedriva ett effektivt antidopingarbete i enlighet med det globala regelverket World Anti-Doping Code (WADC) och dess tillhörande obligatoriska standarder, som har upprättats av den oberoende antidopingbyrån World Anti-Doping Agency, krävs viss behandling av personuppgifter. Behandlingen av personuppgifter omfattar inom vissa områden även personuppgifter om hälsa som enligt dataskyddsförordningen definieras som särskilda kategorier av personuppgifter. För att uppfylla WADC behöver RF behandla personuppgifter för följande ändamål: (1) handläggning av dispens av medicinska skäl för dopingklassade läkemedel, (2) vistelserapportering för ca 250 idrottsutövare för att kunna genomföra oanmälda dopingkontroller, (3) dopingkontroller med urinoch blodprov, (4) resultathantering av dopingkontrollerna och eventuell efterföljande utredning, (5) underrättelse och utredning för att upptäcka och utreda misstänkt doping. De personuppgifter som får behandlas inom ramen för anti-dopingarbete är namn, kontaktuppgifter, personnummer eller födelsedatum, vistelseinformation upp till 1år fram i tiden, tävlingsresultat, samröre med stödpersonal och träningssällskap, tränare, medicinska rådgivare och lagledare, bestraffning och sanktioner för förseelser mot WADC samt hälsouppgifter såsom värden från analys av blod och urin, intag av läkemedel och kosttillskott, sjukdomshistorik och läkarutlåtanden kring dessa, förskrivna läkemedelsrecept, värden och uppgifter om medlemskap i förening och förbund. 6.8.1. Laglig grund Behandling av personuppgifter inom ramen för RF och Medlemmarnas anti-doping arbete kan stödjas på uppgift av allmänt intresse samt rättslig förpliktelse som lagliga grunder. För den behandling av särskilda kategorier av personuppgifter som utförs inom ramen för anti-dopingarbetet utgör uppgift av viktigt allmänt intresse ett giltigt undantag från förbudet att behandla särskilda kategorier av personuppgifter. 6.9. Ordningsstörningar RF och vissa Medlemmar arbetar tillsammans med Polismyndigheten och andra myndigheter och aktörer i Sverige för att motverka alla former av brott och ordningsstörningar i samband med idrottsevenemang. Arbetet genomförs exempelvis genom att identifiera och avvisa personer som har tillträdesförbud eller arrangörsavstängning, utbilda och stödja idrottsföreningar som riskerar att utsättas för hot, våld och trakasserier. För att kunna yttra sig i ärenden om, samt verkställa tillträdesförbud och arrangörsavstängning hanterar vissa Medlemmar uppgifter om personer som anmälts för respektive meddelats tillträdesförbud. Endast Medlemmar som på förhand samrått med Datainspektionen har tillgång till register över tillträdesförbud i enlighet med förordning (2015:54) om register över tillträdesförbud vid idrottsarrangemang, 6. De personuppgifter som får behandlas inom ramen för motverkande av ordningsstörningar är namn, lagtillhörighet, personnummer och bild. 6.9.1. Laglig grund Behandlingen av personuppgifter inom ramen för motverkande av ordningsstörningar kan stödjas på rättslig förpliktelse som laglig grund då arrangörsavstängning är ett nödvändigt verktyg för att arrangörer ska kunna fullgöra sitt åtagande om god ordning enligt ordningslagen (1993:1617) samt i enlighet med lag (2015:51) om register över tillträdesförbud vid idrottsarrangemang.

18

19 7. Överföring av personuppgifter 7.1. Överföring av personuppgifter till andra organisationer Det finns situationer när RF och Medlemmarna behöver dela personuppgifter med andra organisationer, så som vid tävlingar och evenemang. Vid varje överföring krävs det att RF och Medlemmarna säkerställer att överföringen är laglig och att individens rättigheter respekteras. Om en sådan tredje part behandlar personuppgifter för RF:s eller Medlems räkning anses denna part utgöra Personuppgiftsbiträde till RF eller Medlemmen. RF eller Medlemmen är skyldig att säkerställa att personuppgiftsbiträdesavtal som uppfyller kraven i dataskyddsförordningen ingås med samtliga Personuppgiftsbiträden. Överföringar från externa system till och från IdrottOnline sker också inom ramen för överföring till andra organisationer. Även vid sådan överföring krävs att RF och Medlemmarna säkerställer att överföringen är laglig och att individens rättigheter respekteras samt att biträdesavtal träffas med eventuell annan organisation som behandlar personuppgifter för RF eller Medlems räkning. 7.2. Tredjelandsöverföringar RF och Medlemmarna får endast överföra personuppgifter utanför EES-området om det finns en laglig grund för överföringen. Personuppgifter kan till exempel överföras utanför EES-området som en del av dopingssamarbetet på internationell nivå, för att arrangera och delta i tävlingar och evenemang, transfers samt för scouting. Inom ramen för antidopingsamarbetet måste personuppgifter regelbundet överföras till World Anti-Doping Agency (WADA) med säte i Montreal, Kanada. Oregelbunden överföring av personuppgifter utanför EES kan ske gentemot andra nationella och internationell förbundsanslutna antidopingorganisationer. 8. Enskildas rättigheter 8.1. Allmänt Att uppfylla enskilda individers rättigheter är en viktig del av RF:s dataskyddsarbete. Det ska därför inom Medlemmarna finnas tydliga policyer och riktlinjer på plats för att i varje enskilt fall kunna tillvarata enskildas rättigheter i enlighet med dataskyddsförordningen. 8.2. Rätt till information Den registrerade har rätt till information om att dennes personuppgifter behandlas. Det gäller både om uppgifterna samlas in från den registrerade själv och om uppgifterna samlas in från någon annan källa än den registrerade. RF och Medlemmarna ska informera den registrerade om personuppgiftsbehandlingen i enlighet med dataskyddsförordningen inom en rimlig period efter det att personuppgifterna erhållits, dock senast inom en månad. Om personuppgifterna ska användas för kommunikation med den registrerade ska informationen lämnas senast vid tidpunkten för den första kommunikationen med den registrerade. Om personuppgifterna ska lämnas ut till någon annan ska informationen lämnas ut senast när personuppgifterna lämnas ut för första gången förutsatt att det saknas bestämmelser om registreringen eller utlämnandet i lag eller någon annan författning, den registrerade inte redan erhållit information enligt annan lagstiftning eller lämnandet av informationen är omöjligt eller innebär en oproportionerligt stor arbetsinsats. 8.3. Registerutdrag I egenskap av personuppgiftsansvarig har RF och varje Medlem en skyldighet att lämna ett s.k. registerutdrag som omfattar samtliga personuppgifter om den registrerade som behandlas i respektive system eller register. Förbund ansvarar för att till Fören-

20 ing på begäran lämna ut information från system som Förbund levererar eller utgör samordnare för. Den registrerade har rätt att från RF eller Medlemmen få bekräftelse på huruvida personuppgifter som rör vederbörande behandlas, och i sådana fall få tillgång till personuppgifterna och den information som framgår av Bilaga 2. RF eller Medlemmen ska även förse den registrerade med en kopia av de personuppgifter som behandlas. Om begäran görs i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Ett formulär för registerutdrag som uppfyller kraven i dataskyddsförordningen tas fram av RF för användning av Medlemmarna. 8.4. Rätt till rättelse och radering Alla personuppgifter som ska behandlas ska vara sakligt riktiga och de ska också, om det är nödvändigt, vara aktuella, dvs. tillräckligt aktuella i förhållande till ändamålet. RF och Medlemmarna ska tillse att de personuppgifter som behandlas är riktiga och om nödvändigt uppdaterade. Personuppgifter som är felaktiga, ofullständiga eller irrelevanta ska rättas eller raderas. Om en registrerad upplyser RF eller Medlem om att en uppgift som rör denne är felaktig ska uppgiften rättas. 8.5. Rätt till begränsning av behandling RF och Medlemmarna ska se till att den registrerades rätt till begränsning efterlevs. En sådan rätt föreligger när den registrerade anser att uppgifterna är felaktiga och har begärt rättelse under tiden uppgifternas korrekthet utreds. 8.6. Dataportabilitet RF och Medlemmarna ska uppfylla den registrerades rätt till dataportabilitet om behandlingen av personuppgifter stödjs på samtycke eller avtal med den registrerade som laglig grund och den registrerade själv har lämnat personuppgifterna till RF eller Medlemmen. 8.7. Rätt att göra invändningar RF och Medlemmarna ska tillgodose den registrerades rätt att invända mot behandling av dennes personuppgifter om den aktuella behandlingen stödjs på uppgift av allmänt intresse, myndighetsutövning eller intresseavvägning som laglig grund. Om den registrerade invänder mot sådan behandling får RF eller Medlem fortsätta att behandla personuppgifterna endast om RF eller Medlemmen kan visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. 8.8. Rätt att inte bli föremål för automatiserat beslutsfattande RF och Medlemmarna ska inte grunda ett beslut rörande en registrerad enbart på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar denne. Detta gäller dock inte om automatiserat beslutsfattande är nödvändigt för ingående eller fullgörande av ett avtal med den registrerade eller den registrerade har gett sitt uttryckliga samtycke.

21

22 9. Särskilda frågor 9.1. Personuppgifter i ostrukturerat material I och med att dataskyddsförordningen träder ikraft utgår även den s.k. missbruksregeln, som tidigare inneburit ett undantag av flera av reglerna på personuppgiftsområdet för personuppgifter som behandlas i ostrukturerat material, så som e-post och ordbehandlings- och kalkylprogram. Varje Medlem ansvarar för att genomföra interna projekt för att säkerställa att den behandling som tidigare fallit under missbruksregeln utförs i enlighet med de krav som följer av dataskyddsförordningen. Instruktion att följa för att tillse att behandling av personuppgifter i ostrukturerat material lever upp till förordningens krav har tagits fram av RF att användas av Medlemmarna. 9.2. Barns personuppgifter Inom idrottsrörelsen ingås avtal om medlemskap för barn under 18 år av vårdnadshavare för att säkerställa skydd för barns personuppgifter. Personuppgifter tillhörande barn ska vidare behandlas med särskild försiktighet och får endast i undantagsfall behandlas med stöd av intresseavvägning. Personuppgifter tillhörande barn ska därför särskilt skyddas mot exempelvis otillbörlig åtkomst. 9.3. Behandling av särskilda kategorier av uppgifter Behandling av särskilda kategorier av personuppgifter är förbjuden om inte något av de uppställda undantagen i dataskyddsförordningen är uppfyllda. Särskilda kategorier av personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller politisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. RF och dess Medlemmar behandlar inom vissa delar av sin verksamhet särskilda personuppgifter om exempelvis hälsa. För personer med funktionsnedsättning som tävlar behandlas uppgifter om funktionsnedsättning för att utfärda paratävlingslicens. För anti-dopingarbete behandlas uppgifter om hälsa för att uppfylla kraven enligt anti-dopinglagstiftning. Behandling av känsliga personuppgifter ska som huvudregel ske med stöd av samtycke från den registrerade. Känsliga personuppgifter ska behandlas med särskild försiktighet och bara den hos RF eller dess Medlemmar som för utförandet av sina arbetsuppgifter behöver ges åtkomst till känsliga personuppgifter ska ges sådan åtkomst. Om ett giltigt samtycke inte kan inhämtas får annat giltigt undantag från förbudet användas. 9.4. Personnummer och samordningsnummer Personnummer och samordningsnummer får behandlas inom ramen för idrottsrörelsen när sådan behandling är nödvändig på grund av vikten av en säker identifiering eller klart motiverad med hänsyn till ändamålen. Det är av stor vikt att personnummer används för identifikation av registrerade för att uppfylla statliga och kommunala krav inom ramen för bidragsfördelning. Behandling av personnummer och samordningsnummer är även nödvändig för att uppfylla kraven på att samtliga kommuner ska kunna säkerställa vart registrerade inom idrottsrörelsen är folkbokförda. Av denna anledning får personnummer insamlas och behandlas exempelvis för att undvika dubbelregistrering av personer, i tävlingssammanhang, vid överföring till IdrottOnline för registrering i underlag för bidragsansökningar, vid anti-dopingarbete, bestraffningsärenden, tillträdesförbud samt vid administration av tävlingslicenser.

23 10. Ansvar och sanktioner 10.1 Ansvar RF och respektive Medlem har ansvaret för att reglerna och riktlinjerna i denna uppförandekod följs. 10.2 Sanktioner Datainspektionen har möjlighet att för vissa överträdelser besluta om administrativa sanktionsavgifter på upp till tjugo miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket värde som är högst, vid överträdelser av dataskyddsförordningen. För andra typer av överträdelser, såsom överträdelser av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, finns ett maxbelopp på det högsta av tio miljoner euro eller 2 % av den globala årsomsättningen. Enligt dataskyddsförordningen har även varje person som har lidit skada till följd av en överträdelse av förordningen rätt till ersättning från den personuppgiftsansvarige. Även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. Vid misstanke om överträdelse av denna kod ska berört SF eller, om misstanken rör SF, RF initiera en utredning om överträdelsen. Om utredning såvitt avser förening visar att överträdelse skett, och rättelse inte sker trots påpekande, eller om överträdelsen är av allvarlig art, ska föreningen anmälas till bestraffning enligt 14 kap. RF:s stadgar. Om SF överträtt denna kod ska RF uppmana SF att vidta behövliga åtgärder. RF får därvid, med stöd av tillämpliga regler, besluta om indrag av ekonomiskt stöd eller, i mycket allvarliga fall och om rättelse inte sker trots upprepade påpekanden, överväga uteslutning enligt 10 kap. 3 RF:s stadgar.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss