Ni förvarar väl inte hobbyidkarnas uppgifter i er förening i onödan?
Inom hobbyverksamhet behandlas olika typer av personuppgifter, till exempel namn, personbeteckningar, adresser, uppgifter om allergier, kontonummer, födelsetider, bilder och videor. Personuppgifter kan dock ofta inte förvaras för evigt, utan man ska fastställa en förvaringstid för dem och radera uppgifterna när deras förvaringstid har löpt ut. Utgångspunkten är att personuppgifter förvaras endast så länge som det behövs. Läs tipsen om förvaring av personuppgifter.
Det är viktigt att anordnare av hobbyverksamhet såsom idrottsföreningar, vet hur länge de kan förvara hobbyidkarnas personuppgifter. Om man inte ser till att personuppgifter som inte längre behövs raderas kan det hända att man förvarar uppgifterna i flera år utan en laglig grund för uppgifternas behandling. Till exempel i händelse av ett dataläckage kan det i dessa fall leda till att mer personuppgifter hamna i utomståendes händer än om man hade raderat personuppgifter som inte längre behövs.
Hur definieras förvaringstiden för personuppgifter?
För vissa personuppgifter, till exempel uppgifter som förknippas med ett anställningsförhållande eller med bokföring, har förvaringstiden fastställts i lagstiftningen. Då förvarar man personuppgifterna under den tid som fastställts i lag och raderas därefter.
För alla typer av personuppgifter har dock någon precis förvaringstid inte fastställts i lag. Då ska personuppgiftsansvarige själv fastställa hur länge man förvarar de olika typerna av personuppgifter. När man fastställer förvaringstiden kan man utgå från att personuppgifter får förvaras endast så länge som det behövs för deras användningsändamål. Anordnaren av hobbyverksamhet bör först gå igenom de personuppgifter som hen behandlar och identifiera användningsändamålet för de olika personuppgifterna. Sedan personuppgiftsansvarige kan fastställa förvaringstiderna på basis av uppgifternas användningsändamål.
Vid fastställande av förvaringstiderna bör man till exempel beakta situationer där hobbyidkaren slutar delta i hobbyverksamheten. En del av uppgifterna kan raderas omedelbart, men man kan behöva förvara till exempel faktureringsuppgifter under en längre tid såsom förutsätts i lagstiftningen.
Vissa personuppgifter är mer känsliga än andra och behöver skyddas särskilt väl. Till exempel vid förvaring av hälsouppgifter ska man ta hänsyn till att uppgifterna är känsliga samt de eventuella olägenheter som spridning av uppgifterna kan medföra hobbyidkaren. Detta ska beaktas i synnerhet när det är fråga om hälsouppgifter av minderåriga barn. Hälsouppgifter ska förvaras så att utomstående inte har tillgång till dem, och uppgifterna får inte lämnas ut till en större grupp än vad som är nödvändigt.
Vad bör man ta hänsyn till vid förvaring av personuppgifter?
Personuppgifter förvaras i digitalt format till exempel i ärendehanterings- och ERP-system, applikationer och digitala dokument. Anordnaren av hobbyverksamhet ska försäkra sig om att endast personer som har rätt att behandla uppgifterna till exempel i sitt arbete har tillgång till uppgifterna.
Detta gäller också behandling av personuppgifter i pappersformat. Dokument kan förvaras till exempel i ett låsbart skåp, och nycklar till skåpet ges endast till personer som har rätt att behandla uppgifterna.
Vid förvaring av personuppgifter ska man också ta hänsyn till ändringar i personalen. Det är viktigt att anordnaren av hobbyverksamhet ser till att personer som inte längre deltar i verksamheten inte förvarar uppgifter utan grund till exempel på sina egna datorer och sin egen e-post.
När och hur bör personuppgifter raderas?
När förvaringstiden för personuppgifterna löper ut ska uppgifterna raderas. Man kan radera uppgifterna automatiskt eller manuellt beroende på deras format och förvaringsställe. Uppgifterna ska raderas överallt där de finns: till exempel personuppgifter som sparats på molnet raderas också från nedladdade filer och e-post. Man ska även komma ihåg att radera säkerhetskopiorna.
Personuppgifter på papper ska förstöras så att personuppgifter som inte behövs längre blir kvar till exempel i mappar eller längs in i dokumentskåp. Dokument kan förstöras till exempel med en eller genom att placera dem i en avfallscontainer för dataskyddat papper.
Rersonuppgiftsansvarige ansvarar för att personuppgifter inte behandlas onödigt länge. Verksamhetsanordnaren ska ge anvisningar om adekvat radering av uppgifter till personer som behandlar personuppgifter inom hobbyverksamhet, till exempel coacher, lagledare, kassörer, frivilliga och vårdnadshavare. När man upprättar anvisningarna bör man ta hänsyn till att rollerna för de personer som deltar i hobbyverksamheten kan ändras även på kort varsel.
När anordnare av hobbyverksamhet sköter förvaringen och raderingen av personuppgifter korrekt kan hobbyidkarna koncentrera sig på sin hobby och lita på att deras personuppgifter är i goda händer.
Författaren
Iida Lautsi
Iida Lautsi är överinspektör vid dataombudsmannens byrå och deltar som sakkunnig i projektet GDPR4CHLDRN.