Hoppa till sidans innehåll

Förtydliganden gällande IdrottOnline och personuppgiftslagen


IdrottOnline är svensk idrotts eget verktyg och är byggt utifrån att individ, förening och förbund ska ha ett gemensamt system för administration och kommunikation. I ett och samma verktyg ska föreningen eller förbundet kunna ha sin webbplats, tillgång till medlemmar, söka LOK-stöd och Idrottslyft och dessutom kunna sköta tävlingsadministration.

Det har under flera års tid satsats stora resurser, såväl ekonomiska som personella, på utveckling och marknadsföring av IdrottOnline. I huvudfokus för arbetet har varit att utveckla ett verktyg som är enkelt, flexibelt och väl fyller idrottens behov. Utvecklingen av verktyget har bedrivits på så sätt att olika moduler utvecklas och kopplas ihop via tjänstelagret varefter modulerna varit klara för det.

Inom IdrottOnline hanteras en mycket stor mängd personuppgifter.

Med personuppgifter menas enligt Personuppgiftslagen (1998:204)(PUL) all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. PUL reglerar behandling av personuppgifter med vilket menas varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstörning.

Huvudregeln enligt PUL är att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke eller om behandlingen är nödvändig utifrån ett antal olika kriterier. Det undantagskriterium som främst är relevant för idrottens del är att behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten.1) Nämnas bör också att personnummer är en i PUL särskilt skyddsvärd personuppgift. Sammantaget ger detta att behandlingar av personuppgifter är tillåtet när det 1) finns ett aktivt, uttryckligt och ovillkorligt samtycke från den person vilken uppgifterna handlar om, eller 2) finns en reglering i PUL som tillåter behandling utan samtycke. I annat fall är behandling av personuppgifter inte tillåtet enligt PUL. 2)

Utifrån att IdrottOnline består av olika moduler som kopplas samman har RF valt att i PuL-hänseende hantera modulerna separat snarare än som en del av ett större system.

Grunden för IdrottOnline är varje idrottsförenings medlemsregister i vilken föreningen har möjlighet att registrera de uppgifter om föreningens medlemmar som föreningen själva tycker är relevanta för föreningens syfte med sitt medlemsregister. Generellt kan bedömningen göras att uppgifter om namn, adress, telefonnummer och födelsedata 3) kan göras utan samtycke utifrån harmlöshetsbedömningen redovisad ovan. 4) 

Registrering av fullständigt personnummer kräver emellertid en särskilt prövning och mycket talar för att föreningen måste inhämta samtycke från den person uppgiften avser för att registrering av fullständigt personnummer ska kunna ske. Möjligen skulle registrering av fullständigt personnummer av försäkringsskäl eller statbidragsskäl kunna ske utan samtycke. RF menar att varje idrottsförening är ansvarig för sitt medlemsregister i IdrottOnline och att RF, genom sin Idrottssupport, är biträden till föreningarna. Föreningarna har möjlighet att efter särskilt beslut och genom en aktiv handling utse ytterligare biträden.

Utifrån ovan är det förening som äger uppgifter i registret och ansvarar för vad som kan och ska ske med personuppgifterna i medlemsregistret.

Så snart uppgifter ska behandlas på något sätt, till exempel genom att ytterligare uppgifter läggs till, uppgifter skickas, uppgifter används för utskick eller uppgifter visas för någon annan än föreningen, måste behandlingen vara förenlig med syftet med föreningens medlemsregister för att kunna ske. Det är inte förenligt med PUL att använda personuppgifter för ett annat syfte än för vilket de samlats in. Syftet med ett register måste vara specificerat och preciserat och syfte som att uppgifter är bra att ha eller uppgifter ska användas för föreningen relevanta ändamål anses inte tillräckligt precisa.

Varje enskild föreningsmedlem har rätt att få information om vilka uppgifter som samlas in, syftet med insamling, hur uppgifterna kommer att användas och hur länge uppgifterna kommer att sparas. Det är inte förenligt med PUL att spara personuppgifter längre än vad syftet medger varför gallringsrutiner måste finnas. Enskild föreningsmedlem har också rätt till ett registerutdrag där samtliga uppgifter om den egna personen ska framgå. Föreningsmedlem kan begära att felaktiga uppgifter rättas eller att några eller alla uppgifter i ett register tas bort.

De SF som har en licensmodul och/eller en tävlingsmodul får personuppgifter från föreningarnas medlemsregister under förutsättning att personuppgifterna i föreningens medlemsregister samlats in i syfte att i relevanta delar kunna överföras till en licensmodul. Det är dock viktigt att enbart relevanta uppgifter från de personer som föreningen beviljar licens överförs till SF:ets licensmodul och/eller  tävlingsmodul. SF:ets licensmodul och/eller tävlingsmodul är ett eget register som SF:et ansvarar för och när personuppgifterna kommit in i SF:ets modul har SF:et ansvar för all vidare behandling av personuppgifterna där. Ansvaret innebär detsamma som föreningarnas ansvar för medlemsregistret vilket beskrivits ovan. IdrottOnlines uppbyggnad i olika sammanlänkade moduler ger att SF:et själv inte kan gå in och titta på eller hämta uppgifter i föreningens medlemsregister om föreningen inte uttryckligen har tillåtit det. SF:et kan heller inte tillföra föreningens medlemsregister nya uppgifter utan föreningens aktiva tillåtelse. Överföring av uppgifter mellan moduler kräver dessutom alltid att överföringen är förenlig med syftet för det register där uppgifterna finns.

Generellt kan sägas att aggregerade uppgifter om personer, det vill säga summerade uppgifter om antal personer inom en viss kategori såsom ålder, kön m.m. inte är att betrakta som personuppgifter och därför kan överföra mellan olika moduler och system utan samma hänsyn till PUL som behandling av personuppgifter enligt PUL:s definition.

Kartläggningen av IdrottOnlines förenlighet med PUL pågår och ytterligare förtydliganden kommer att komma under första halvan av 2012. Vid tveksamheter om en behandling av personuppgifter är förenlig med PUL eller inte, kontakta Idrottssupporten via telefon 08-699 61 50 eller mail till This is a mailto link. Information om PUL finns också på datainspektionens hemsida, www.datainspektionen.se.



1) Nedan kallad harmlöshetsbedömning.

2) Vissa undantag finns gällande behandling av personuppgifter i löpande text och behandling av personuppgifter som sker med stöd av annan lag men dessa undantag bortses från i detta förtydligande.

3) Med födelsedata menas födelseår, månad och dag.

4) Undantag gäller för medlemskap i skyttesportföreningar varför dessa föreningar bör behandlas i särskild ordning.

 

Ladda hem ovanstående text i PDF

 

 
Uppdaterad: 07 JUN 2016 17:34 Skribent: Ulla Persson

Postadress:
IdrottOnline Förbund
Riksidrottsförbundet, Box 11016
100 61 Stockholm

Kontakt:
Tel: +4686996150
E-post: forbund@idrottonline...