GDPR studentförening?

Ni kan ha vilken typ av register som helst - små föreningar kan köra med Excel om man vill. Att föreningen inte har ett medlemsregister på grund av GDPR är nog riktigt dumt, hur ska ni kunna ha koll? GDPR behöver som jag förstår det vara skriftligt men är inte 100% säker på det. Dock är det väl säkrast att ha det skriftligt ifall det skulle bli något problem längre fram. Att en styrelse byts ut i en förening, speciellt i en studentförening, är väldigt rimligt. Det är därför viktigt att ni förstår att det är ni medlemmar som är föreningen och att det är ni som äger den.

Om ni har medlemmar som betalar så måste ni kunna styrka en inbetalning i sju eller tio år, är lite trött nu så kommer inte ihåg vilket. Det är därför bra om ni bokför det hela på ett riktigt vis. Kom också ihåg att det inte utgår någon moms på medlemskap i föreningar.

Skicka mig ett PM så kan jag både GDPR och dina andra frågor men just nu går ögonen i kors här

Riksidrottsförbundet har en del mallar och checklistor också. Allt kanske inte passar för er typ av föreningen men de borde kunna ge en del bra hjälp. Kolla t.ex. "Uppförandekod för personuppgifter och GDPR ", "Arbetsbok - föreningars personuppgiftshantering" och "Checklista för styrelsen".

https://www.rf.se/Personuppgifter/utbildningstodochmallar/

RF rekommenderar att idrottsföreningar använder den rättsliga grunden "Avtal" för persondata som behövs för att kunna administrera medlemskap i föreningen. Detta minskar det administrativa jämfört med "Samtycke". Detta kanske inte passar er föreningstyp dock.

> Har även funderingar över hur man gör med gamla medlemmar?

Ni behöver informera alla medlemmar om vad för personuppgifter ni sparar, varför ni sparar dem, hur länge ni sparar dem, deras rättigheter med mera. Om ni kan behålla persondata som ni redan samlat in beror lite på vad ni har för rättslig grund att hantera informationen.

> Måste det finnas underskrift från medlemmar att de godkänt GDPR eller räcker ett samtal via internet t.ex.?

Om ni har rättslig grund "Samtycke" för att hantera deras persondata så måste ni kunna visa på ett eller annat sätt att samtycke lämnats.

> Vad händer när styrelsen byts ut eller avgår?

Se till att ni har dokumenterat ert arbete med GDPR. Ta fram lite checklistor och rutiner och informera den nya styrelsen om era rutiner och hur de ska hantera persondata korrekt.

Helst ska man nog försöka undvika hantering där samtycke krävs. Det mesta av behandlingen av personuppgifter (hantering av medlemsregister) i en ideell förening kan man hänga upp på avtal som rättslig grund.

Viktigt att tänka på är att lagra personuppgifterna på ett säkert sätt och att det krävs personuppgiftsbiträdesavtal (s.k. PUB-avtal) med alla tjänsteleverantörer som behandlar eller lagrar personuppgifter å föreningens vägnar.

Detta innebär bl.a. att man inte kan använda Dropbox/Onedrive/Google Drive gratiskonton eftersom det inte erbjuds PUB-avtal för gratistjänsterna. Det är dessutom lite klurigt om personuppgifterna lagras i något land utom EU/ESS.

Behöver man molnlagring och mailtjänst kan man med fördel använda Jottacloud och Mailchimp då de erbjuder PUB-avtal även till gratiskonton.

@rinosaur: Publikt behöver det inte vara, däremot kan det vara en del av inskrivningen i föreningen. I vårt fall är vi ganska flytande i beskrivningarna. Mest specifika är vi med våra anställdas information vilket motiveras med att kunna köra löner (ytterst få har något emot det...) och vanliga medlemmar behöver vi lagra information om för att kunna delge medlemserbjudanden. Vi har också skrivit i att tredjepart kan komma att ta del av vårt medlemsregister, och här är Postnord ett exempel för att kunna skicka fysiska brev.

Allt detta står i medlemsavtalet.
Rutiner för hantering av information är egentligen vad GDPR handlar om. Det ska finnas tydliga rutiner att visa upp ifall någon undrar om hur man hanterar ett utträde osv. Riktigt så tydliga som Umeå Universitet är behöver ni inte vara men de är en myndighet så de kanske ska vara helt vattentäta. Vi har det inskrivet på hemsidan på den där "vi lagrar information tryck ok eller avbryt" fliken ingen läser.

Excel eller Post-it lappar - hur sjutton ni vill. Spelar ingen roll. Det viktiga är att det är den juridiska personen och inte en privatperson äger datorn. Ni har årsmöte med beredningsval och styrelsen kan komma och gå. Det viktiga är att ni har tydliga rutiner, överlämning osv. Era stadgar har inget med GDPR att göra.

@rinosaur: Att ni har rutiner är i princip 90% av arbetet - att ni informerar om att ni har rutiner är resterande tio. Ändå skulle jag rekommendera att ni för ett riktigt register över era medlemmar. Swisch håller nog inte även om ni har ett 123-nummer.

Vi körde fram till nyligen med papper men har nu gått över till mobilt bankid för att bli medlem. Det ni inte vill råka ut för är dispyter och därför bör ni ha ett riktigt system.

Precis, er förening har (förutsatt att det inte är en ideell förening, som inte behöver vara registrerad) har ett eget organisationsnummer. Något som oftast kallas för juridisk person. Denne kan teckna avtal, äga saker, ta lån och få skulder osv. Den juridiska personen bör ha äganderätt över sina tillgångar så att inte allt arbete försvinner om en medarbetare eller någon annan slutar.

Vi kör med ett system som heter SuiteCRM kombinerat med vår hemsida som synkar en medlemsportal samt Workplace för våra medlemmar och medarbetare. Funkar hur bra som helst. Vi har dock en oerhörd överkapacitet så vill ni kan vi nog släppa in er också.

@rinosaur: Börja med att göra som @kf säger; kolla på materialet från RF.

Ni behöver dokumentera processen där ni kommer fram till varför/hur ni behandlar personuppgifter. RF kallar det för arbetsbok. Börja i den ändan, mall finns i RFs material. Räkna med att det är en del jobb.

Det hela ska sen mynna ut i en registerförteckning, dvs ett dokument som visar vilka personuppgiftsbehandlingar som föreningen är personuppgiftsansvarig för, samt en integritetspolicy.

Arbetsboken är till för att dokumentera er process för att uppnå GDPR-efterlevelse och är nog mest till för att ni ska kunna visa myndigheter att ni på allvar försökt följa GDPR (jag tror inte att något företag eller förening till 100% efterlever GDPR).

Registerförteckningen och integritetspolicyn måste finnas tillgänglig för medlemmar och måste gå att ta del av för de som tänker sig bli medlemmar (innan dom faktiskt blir medlemmar i föreningen). Dessa dokument behöver mao inte vara publika, men det blir enklare för er om ni gör dom publikt tillgängliga.

Om du vill kan jag visa hur registerförteckningen och integritetspolicyn ser ut i en annan förening där man försöker efterleva GDPR.

Precis som Hurtigbullen skriver så kan även jag visa hur det ska gå till. Vi har allt klart och godkänt av KFO och Akademikerförbundet

Läs detta: https://www.datainspektionen.se/lagar--regler/dataskyddsforor...
Om du inte orkar ring eller maila Datainspektionen och fråga. De svarar alltid på frågor, men kan ibland vara mycket svåra att nå per telefon.

@MsSmith: Har du nån info om SuiteCRM? VI behöver nåt vettigt till vår förening, men dessvärre är vår budget obefintlig...

Du har pm

@rinosaur: Du kan kolla här: https://sites.google.com/view/malmoradioflyg/om-mrfs/personup...

Glöm inte att ni måste ordna rutiner om hur ni ska behandla personuppgifter, t.ex. i e-post. Rutinerna måste vara dokumenterade, men inte publika.