8. Kontrollera hela livscykeln av personuppgifterna från planering till insamling, förvaring och radering

Livscykeln av behandling av personuppgifter börjar med planering av behandlingen och slutar med radering eller arkivering av personuppgifterna. Dataskyddsfrågorna ska beaktas under alla skeden av livscykeln.

Vid planering av behandling av personuppgifter fastställer man först den rättsliga grunden och syftet för behandlingen. Samtidigt tar man hänsyn till principerna för behandling av personuppgifter, informering av de registrerade och tillgodoseende av deras rättigheter samt åtgärder att skydda personuppgifterna. Man upprättar en riskbedömning och dokumenterar dataskyddet till exempel med en beskrivning av och ett avtal om behandlingen av personuppgifter. Man definierar även rollerna och ansvaren avseende behandlingen av uppgifterna.

Vid insamling av personuppgifter ska man beakta minimering av uppgifterna och uppgifternas korrekthet. Vid användning av personuppgifter är det viktigt att åtminstone beakta bundenhet till användningsändamålet, åtkomstkontroll och de krav som förknippas med överlåtelse av uppgifter.

Vid förvaring av personuppgifter ska man ta hänsyn till förvaringsplatsen och de nödvändiga tekniska skyddsåtgärderna. När förvaringstiden för personuppgifterna upphör ska uppgifterna raderas på ett säkert sätt inom den angivna tidsfristen.

Inom hobbyverksamhet kan det vara bra att utarbeta processer till exempel för följande situationer:

tillgodoseende av de registrerades rättigheter
hur personuppgiftsincidenter identifieras och anmäls till tillsynsmyndigheten och de registrerade
konsekvensbedömning avseende dataskyddet i samband med anskaffning av nya system och avtal om behandling av personuppgifter
insamling av personuppgifter: vilka uppgifter samlas in, vem utför insamlingen, var uppgifterna förvaras och när och hur de raderas
radering av personuppgifter när en person inte längre deltar i hobbyverksamheten: vad de olika aktörerna (coachen/handledare, lagledaren, anställda hos föreningen) ska ta hänsyn till.

Exempel

En gymnastikklubb har fastställt processen för radering av personuppgifter när en gymnast slutar i klubben. När en gymnast meddelar coachen att hen slutar delta i verksamheten, meddelar coachen klubbens huvudtränare och lagledaren om detta. Lagledaren informerar lagets kassör om detta, och huvudtränaren informerar klubbens sekreterare.

Coachen, lagledaren och kassören raderar gymnastens uppgifter enligt klubbens anvisningar till exempel från e-posten och papperslappar. Klubbens huvudtränare och sekreterare raderar personuppgifterna från klubbens datasystem och meddelar grenförbundet att gymnasten har slutat i klubben. Vissa uppgifter som ska förvaras under den lagstadgade förvaringstiden kan inte raderas med detsamma.

Kort minneslista om dataskydd för hobbyverksamhetaktörers styrelser

1. Identifiera hobbyverksamhetsanordnarens roll i behandlingen av personuppgifter i olika sammanhang.

2. Identifiera vilka personuppgifter som behandlas, vem som behandlar uppgifterna och vilka roller de olika personerna har i behandlingen av personuppgifter.

3. Fastställ ändamålen för behandlingen av personuppgifter och behandla personuppgifter endast för dessa ändamål. Om ändamålet ändras, underrätta de registrerade om det innan du börjar behandla uppgifterna.

4. Fastställ grunderna för behandlingen av personuppgifter för de olika ändamålen.

5. Minimera personuppgifter som behandlas inom hobbyverksamheten. Om personuppgifter behöver behandlas tänk efter noga vilka personuppgifter som är nödvändiga för de olika ändamålen.

6. Kontrollera regelbundet att hobbyidkarnas personuppgifter är korrekta och korrigera felaktiga uppgifter överallt där de förvaras eller behandlas. Be hobbyidkarna att meddela om deras uppgifter ändras.

7. Berätta för de parter som deltar i hobbyverksamheten (bland annat hobbyidkarna, de anställda, handledarna, coacherna, vårdnadshavarna, representanterna för intressentgrupper) om behandlingen av personuppgifter. Ta särskild hänsyn till att informationen för barn ska vara förståelig.

8. Begränsa förvaringen av personuppgifter till ett minimum: radera personuppgifterna omedelbart när de inte längre behövs. Radera även säkerhetskopiorna.

9. Gör upp en process för tillgodoseendet av de registrerades rättigheter: hur de registrerade kan ta kontakt för att använda sina rättigheter, vem som besvarar begärandena, hur den registrerade identifieras och hur dataskyddsrättigheterna tillgodoses i praktiken.

10. Identifiera personuppgiftsincidenter, bedöm hurdana risker de kan medföra de registrerade och anmäl incidenterna vid behov till tillsynsmyndigheter och underrätta de personer som drabbats om det inträffade. Dokumentera händelsen och de olika stegen av hanteringen av den.

11. Utarbeta en beskrivning av behandlingen av personuppgifter inom hobbyverksamheten.

12. Upprätta avtal om behandling av personuppgifter när utomstående tjänsteleverantörer behandlar personuppgifter för hobbyverksamhetsanordnarens räkning.

13. Identifiera och gör en bedömning av risker som behandling av personuppgifter kan medföra de registrerade. Utför konsekvensbedömning avseende dataskydd vid hög risk.

14. Ge anvisningar om behandling av personuppgifter till personer som deltar i hobbyverksamheten.