Lyssna

Föreningar

Här får du veta mer om vad man bör tänka på när man behandlar personuppgifter i mindre föreningar och medlemsorganisationer som idrottsklubbar och bostadsrättsföreningar.

Behandlar ni personuppgifter i er förening, till exempel uppgifter om era medlemmar i ett medlemsregister? Då måste ni följa dataskyddsförordningen. Dataskyddsförordningen stärker rättigheterna för era medlemmar när det gäller deras personliga integritet.

När gäller dataskyddsförordningen?

Dataskyddsförordningen gäller för helt eller delvis automatiserad (digital) behandling av personuppgifter. Ett exempel på delvis automatiserad behandling är när personuppgifter samlas in manuellt i syfte att senare föras in i ett automatiserat register. Dataskyddsförordningen gäller också för manuell behandling (pappersform) av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register. Vid bedömningen om det är ett sådant register är det av betydelse om informationen är strukturerad så att det med lätthet går att återfinna viss information om en enskild person för senare användning.

Det betyder att om ni har ett register över till exempel era medlemmars uppgifter där det exempelvis framgår vad de heter och var de bor så behandlar ni deras personuppgifter och behöver därför följa dataskyddsförordningen.

Vad är personuppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Exempel på personuppgifter kan vara:

namn
adress och e-postadress
telefonnummer
personnummer
foton.

Vad är behandling av personuppgifter?

Behandling av personuppgifter är allt man gör med personuppgifter. Ni behandlar personuppgifter om ni till exempel

samlar in personuppgifter från medlemmar
registrerar medlemmar på något sätt
lagrar personuppgifter någonstans, till exempel i en molntjänst
lämnar ut personuppgifter till någon.

Känsliga personuppgifter är oftast förbjudna att behandla

Vissa personuppgifter är särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter, utom i undantagsfall, till exempel om medlemmen har gett ett uttryckligt samtycke. Känsliga personuppgifter är sådana som avslöjar:

etniskt ursprung
politiska åsikter
religiös eller filosofisk övertygelse
medlemskap i en fackförening
hälsa
sexualliv eller sexuell läggning
genetiska uppgifter
biometriska uppgifter som används för att identifiera en fysisk person.

Undantag för vissa föreningar

I vissa föreningar, till exempel politiska partier eller trossamfund, avslöjar själva medlemskapet en känslig personuppgift, som vilken politisk åsikt eller religiös övertygelse medlemmen har. Är ni en förening med ett politiskt, filosofiskt, religiöst eller fackligt syfte? Då kan ni vara undantagna från förbudet. Det innebär att ni då får behandla känsliga personuppgifter utan samtycke inom ramen för er verksamhet, om medlemmar, tidigare medlemmar eller andra personer som ni har regelbunden kontakt med på grund av er förenings syfte. Men om ni vill lämna ut känsliga personuppgifter om till exempel en medlem till någon annan, krävs att medlemmen uttryckligen har samtyckt till detta.

Personuppgifter som rör lagöverträdelser får ni enbart behandla i enlighet med IMY:s föreskrifter om undantag, eller efter ett enskilt beslut om undantag från IMY.

Läs mer om undantag för behandling av personuppgifter som rör lagöverträdelser

Personnummer ska alltid skyddas extra

Personnummer är en extra skyddsvärd personuppgift även om den inte är en känslig personuppgift enligt dataskyddsförordningen. Ni får bara registrera personnummer när det är klart motiverat med hänsyn till

ändamålet med behandlingen (ert syfte med att registrera personnummer ska klart motivera registreringen)
vikten av en säker identifiering (ni måste registrera personnummer för att kunna identifiera medlemmar på ett säkert sätt)
något annat beaktansvärt skäl (det finns något annat som klart motiverar registreringen).

Vem ansvarar för att följa lagen – vem är personuppgiftsansvarig?

Personuppgiftsansvarig är normalt den juridiska person som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Många föreningar är juridiska personer, till exempel ekonomiska föreningar, bostadsrättsföreningar och en del ideella föreningar. Om föreningen inte är en juridisk person är det vanligtvis styrelsen som är personuppgiftsansvarig. Då ansvarar alltså styrelsen för att föreningen behandlar personuppgifterna på ett sätt som stämmer överens med dataskyddsförordningen.

Ibland kan flera juridiska personer vara inblandade i behandlingen av samma personuppgifter, som en riksorganisation, ett regionalt förbund och en lokal förening. De kan då antingen bli ansvariga för olika delar av personuppgiftsbehandlingen eller gemensamt ansvariga för den som helhet, beroende vem som bestämmer över behandlingen.

För att skydda medlemmarnas integritet på bästa sätt är det viktigt att ni redan från början har klart för er vem som är personuppgiftsansvarig och därmed har ansvaret för att ni följer reglerna i lagen. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig.

Ni behöver en rättslig grund för att behandla personuppgifter

För att få behandla personuppgifter måste ni alltid ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. Ni kan till exempel använda den rättsliga grunden avtal om personuppgiftsbehandlingen är nödvändig för att ni ska kunna uppfylla avtal om medlemskap med era medlemmar. Andra rättsliga grunder kan vara samtycke eller en så kallad intresseavvägning.

Avtal

En förening behandlar vanligtvis uppgifter om medlemmar för att kunna uppfylla avtalet om medlemskap med medlemmarna. Det är viktigt att se till att då bara behandla personuppgifter som är nödvändiga för att uppfylla avtalet, till exempel för att administrera medlemskapet. Ni måste alltså titta närmare på det avtal som ni har ingått med medlemmen, för att bedöma om de ändamål som personuppgifterna behandlas för är nödvändiga för att uppfylla avtalet. Om ni går utanför det som är nödvändigt behöver ni en annan rättslig grund för den personuppgiftsbehandlingen.

Annan rättslig grund än avtal

Exempel

Räcker det att ni behandlar uppgifter om namn, telefonnummer, förtroendeposter och deltagande i föreningens aktiviteter för att ni ska uppfylla medlemsavtalet med era medlemmar?

Ni kan behöva någon annan rättslig grund än avtal om ni till exempel vill kunna publicera foton på era medlemmar på föreningens webbplats, eller lämna ut medlemsregistret till någon utanför föreningen.

Samtycke

Ni kan fråga era medlemmar om ni får behandla deras personuppgifter. Det kallas för att få personernas samtycke. Det är då viktigt att medlemmen får tydlig information om vilka uppgifter ni samlar in och vad de ska användas till, för att kunna godta behandlingen.

Dataskyddsförordningen ställer särskilda krav på samtycket, bland annat att

samtycket är frivilligt och specifikt
den registrerade har fått information om personuppgiftsbehandlingen innan hen lämnar samtycket
den registrerade lämnar samtycket genom ett uttalande eller en tydlig bekräftande handling.

Ni som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att medlemmen har lämnat ett giltigt samtycke. Medlemmen har dessutom rätt att när som helst återkalla sitt samtycke.

Det är två olika saker att acceptera avtalsvillkor och att lämna sitt samtycke till behandling av personuppgifter. Att i de avtalsvillkor som gäller för medlemsavtalet räkna upp ett antal behandlingar av medlemmens personuppgifter, som inte är nödvändiga för att fullgöra själva medlemsavtalet, innebär inte att medlemmen har samtyckt till de behandlingar som räknas upp. För att ett samtycke ska vara giltigt måste medlemmen aktivt ha samtyckt till varje sådan behandling.

Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen, eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter.

Läs mer om behandling av personuppgifter om barn

Intresseavvägning

Det är också möjligt att behandla personuppgifter efter en intresseavvägning. Det krävs då att personuppgiftsbehandlingen är nödvändig för berättigade intressen, och att medlemmens intresse av skydd för sina personuppgifter inte väger tyngre. Om en medlem invänder mot en pågående personuppgiftsbehandling måste ni göra en ny intresseavvägning och sluta behandla personuppgifterna om det inte finns tvingande berättigade skäl. Om en medlem invänder mot att ni använder personuppgifterna för direkt marknadsföring måste ni alltid sluta behandla personuppgifterna för sådana ändamål.

Vanliga frågor och svar

Dataskydd
,
Internet och appar
,
Förening

För att det ska vara tillåtet att publicera ett medlemsregister på internet måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vara samtycke från medlemmen. IMY:s erfarenhet är att många medlemmar inte vill att deras adresser och telefonnummer ska publiceras på Internet. Ofta krävs det att medlemmarna i föreningen först ger sitt godkännande innan deras uppgifter kan publiceras på internet. I så fall måste föreningen alltså först fråga om lov.

Även i situationer där man har ett annat lagligt stöd för att publicera medlemsregistret rekommenderar vi att man frågar medlemmarna om lov först. För barn yngre än 13 år krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

Dataskydd
,
Förening

För att det ska vara tillåtet att skicka ut medlemsregistret måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vara samtycke från medlemmen. Man bör ta hänsyn till att en medlem kanske inte vill att hens uppgifter sprids till övriga medlemmar via e-post. Det kan exempelvis finnas medlemmar som har skyddad adress eller hemligt telefonnummer. Det krävs även att medlemmarna fått information om att medlemsregistret kan komma att skickas ut.

Dessutom är det viktigt att tänka på säkerhetsaspekterna. Enligt dataskyddsförordningen ska den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Man bör överväga om det är nödvändigt att genom exempelvis kryptering förhindra att uppgifter kan läsas eller förvanskas av någon annan än den avsedda mottagaren när man ska skicka något med e-post.

Dataskydd
,
Förening

Nej, till skillnad från offentliga myndigheter som måste tillämpa offentlighetsprincipen har inte privata företag, föreningar eller stiftelser någon skyldighet att lämna ut sitt medlemsregister.

Däremot har den registrerade rätt enligt dataskyddsförordningen att få ett registerutdrag över vilka uppgifter som finns registrerade om sig själv.

Tänk också på att det kan finnas särskilda bestämmelser som man måste ta hänsyn till, exempelvis lagen om ekonomiska föreningar. För sådana föreningar ska medlemsförteckningen hållas tillgänglig hos föreningen för var och en som vill ta del av den.

Fler vanliga frågor och svar

Senast uppdaterad: 2 december 2022

Dataskydd, Förening

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

Föreningar

När gäller dataskyddsförordningen?

Vad är personuppgifter?

Vad är behandling av personuppgifter?

Känsliga personuppgifter är oftast förbjudna att behandla

Undantag för vissa föreningar

Personnummer ska alltid skyddas extra

Vem ansvarar för att följa lagen – vem är personuppgiftsansvarig?

Ni behöver en rättslig grund för att behandla personuppgifter

Avtal

Annan rättslig grund än avtal

Samtycke

Intresseavvägning

Vanliga frågor och svar

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Söktips!

Föreningar

När gäller dataskyddsförordningen?

Vad är personuppgifter?

Vad är behandling av personuppgifter?

Känsliga personuppgifter är oftast förbjudna att behandla

Undantag för vissa föreningar

Personnummer ska alltid skyddas extra

Vem ansvarar för att följa lagen – vem är personuppgiftsansvarig?

Ni behöver en rättslig grund för att behandla personuppgifter

Avtal

Annan rättslig grund än avtal

Samtycke

Intresseavvägning

Vanliga frågor och svar

Får en idrottsförening publicera sitt medlemsregister på internet?

Är det tillåtet att skicka ut medlemsregister till medlemmar via e-post?

Är en förening skyldig att lämna ut sitt medlemsregister till en medlem som begärt det?