Nya krav för hantering av personuppgifter i båtklubben

Den 25 maj införs den nya dataskyddslagen GDPR (General Data Protection Regulation) inom hela EU.

Alla företag, föreningar och organisationer som samlar, lagrar och använder personuppgifter med stöd av automatisk databehandling, måste följa den nya lagen. Även båtklubbar!

Idén är att stärka i integritetsskyddet för privatpersoner (medlemmar, kunder etc.).

Den tidigare personuppgiftslagen (PUL) upphör att gälla i och med att GDPR införs.

För båtklubben gäller att om den redan uppfyller kraven i PUL, så påverkas man inte så mycket, kraven är i stora drag ganska lika. Men GDPR är skarpare i vissa krav på ”ordning och reda” och transparens. Klubben behöver dokumentera och följa upp mer än tidigare. Man behöver också upprätta rutiner för incidentrapportering. Om man upptäcker ett dataintrång i sitt system ska man rapportera till Datainspektionen (som snart byter namn till Integritetsskyddsmyndigheten) inom 72 timmar.

Hur kommer detta att påverka oss som båtklubb? Bland annat genom att:

SMS måste inhämta samtliga medlemmars samtycke att finnas med och ha sina personuppgifter i klubbens register. Detta för att fullgöra det avtalsförhållande som det innebär (enligt lagtexten) att följa föreningens stadgar, det så kallade ”medlemskontraktet”. Personuppgifter behöver vara registrerade så länge medlemskap gäller.

De personuppgifter som SMS anser sig behöv ha registrerade och kunna behandla är:

  • Namn
  • Adress
  • E-postadress
  • Telefonnummer (mobil, fast)
  • Båttyp/innehav
  • Försäkringsuppgifter (för kontroll)
  • Kajplats/varvsplats/trailerplats

SMS behöver också ha medgivande från medlem att vara registrerad för att:

  • Kunna göra listor för sjö- och torrsättning
  • Kunna göra listor för olika arbetsmoment, som arbetskvällar, bryggvärd
  • Hålla ett aktuellt medlemsregister för utskick, debitering av medlems- och båtavgifter samt övrig medlemskontakt
  • Hålla matrikel över varvs-, kaj- och trailerplatser
  • Hålla register över utkvitterade nycklar till klubbområdet

SMS blir skyldig att ta bort registrerade personuppgifter som inte längre behövs, till exempel om medlem avslutar sitt medlemskap.

Om medlem anser att SMS hanterar medlems personuppgifter på ett felaktigt sätt kan anmälan om detta göras till Datainspektionen/Integritetsskyddsmyndigheten.

SMS är skyldig att, på begäran från medlem, lämna ut registrerade uppgifter som avser medlemmen. SMS är även skyldig att rätta felaktigheter i registrerade uppgifter, om medlem påtalar felaktighet.

Genom att medlem tar del av denna skrivning anser SMS att medlem ger sitt samtycke till att personuppgifter som angivits ovan hanteras i enlighet med bestämmelserna och reglerna i GDPR. Detta i enlighet med vad som i lagen avses med ”berättigat intresse” och som avser en intresseavvägning mellan nyttan av behandlingen av personuppgifterna och risken för den enskildas personliga integritet. Då de personuppgifter som SMS avser hantera inte är att anse som ”känsliga” bedöms att berättigat intresse kan föreligga för SMS att hantera personuppgifter på sätt som beskrivits ovan.

Skulle medlem av något skäl inte kunna acceptera hanteringen av personuppgifter på sätt som beskrivits ovan, ska detta meddelas SMS styrelse senast den 20 maj. Om medlem ej kan acceptera hantering av personuppgifter enligt ovan, kan inte längre medlemskap beviljas inom SMS. Medlem kommer i så fall att uteslutas.

Utöver ovan kan arbetet med GDPR framdeles komma att innebära ytterligare krav och åtgärder för att uppfylla lagstiftningen. Styrelsen återkommer i sådana fall med detta.
Det är vår förhoppning att alla medlemmar visar förståelse för att GDPR kan komma att innebära en del merarbete i form av att svara på frågor, inkomma med/redovisa kompletterande uppgifter, fylla i dokument och liknande över tid.

OBS! att detta inte är något vi kan avvika ifrån! Då bryter vi mot lagen! Vi hoppas på förståelse och samarbete i en positiv anda!

/Styrelsen