Hoppa till innehåll på sidan
Vi guidar dig

Vad föreningar behöver göra för att följa GDPR

Föreningar behöver följa några grundläggande principer vid behandling av medlemmars personuppgifter.

Ni behöver tänka på att behandla era medlemmars personuppgifter enligt följande principer:

  • Ändamålsbegränsning: Bara samla in uppgifter för bestämda och berättigade ändamål och inte senare behandla uppgifterna för andra oförenliga syften.
    Exempel: Om ni har samlat in uppgifter för att administrera medlemskapet ska ni inte senare börja behandla uppgifterna för att profilera medlemmarna för riktad marknadsföring.
  • Uppgiftsminimering: Bara samla in uppgifter som är adekvata, relevanta och inte för omfattande i förhållande till ändamålen.
    Exempel: Om ni behöver namn och telefonnummer för att administrera medlemskapet ska ni inte registrera personnummer bara för att "det kan vara bra att ha".
  • Riktighet: Se till att personuppgifterna är riktiga och uppdatera dem vid behov.
    Exempel: Se till att ha lämpliga rutiner på plats för att säkerställa att felaktiga personuppgifter raderas eller rättas.
  • Lagringsminimering: Bara spara uppgifter om medlemmar så länge som de behövs för ändamålet med behandlingen.
    Exempel: Om en medlem avslutar sitt medlemskap ska ni normalt radera eller avidentifiera uppgifterna. Ni behöver ha fastställt hur länge olika uppgifter får sparas och ha rutiner för gallring av personuppgifter.
  • Integritet och konfidentialitet: Skydda personuppgifterna till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs.

Informera era medlemmar

I samband med att ni samlar in uppgifter om en medlem måste ni informera medlemmen om bland annat:

  • vilken organisation som är personuppgiftsansvarig och kontaktuppgifter till denna
  • om ni utsett ett dataskyddsombud kontaktuppgifter till denna
  • vad uppgifterna ska användas till
  • med stöd av vilken rättslig grund som uppgifterna behandlas
  • till vilka mottagare uppgifterna ska lämnas ut
  • i tillämpliga fall att ni tänker överföra personuppgifter till ett  tredjeland (land utanför EU/EES).


Ni behöver dessutom informera era medlemmar om: 

  • hur länge personuppgifterna kommer att lagras
  • om det förekommer automatiserat beslutsfattande/profilering
  • att de kan lämna ett klagomål till IMY om föreningens behandling av deras personuppgifter
  • om medlemmen är skyldig att tillhandahålla personuppgifterna till föreningen och möjliga följder av att uppgifterna inte lämnas
  • vilka rättigheter som medlemmarna har vid behandlingen, exempelvis att de när som helst kan återkalla ett samtycke, invända mot behandling som stödjer sig på en intresseavvägning, motsätta sig behandling för direkt marknadsföring inklusive profilering i samband därmed, samt att de av föreningen kan begära tillgång till sina personuppgifter, rättelse av eventuellt felaktiga uppgifter eller radering av sina personuppgifter.

Informera den registrerade

Register över behandling

Som huvudregel ska ni föra register över era behandlingar. Det finns vissa undantag från denna skyldighet. Oberoende av om det finns ett undantag rekommenderar IMY att ni för register för att kunna ha kontroll internt på era personuppgiftsbehandlingar.

Föra register över behandling

Skydda personuppgifterna

Ni är ansvariga för att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna som ni behandlar. Vilka säkerhetsåtgärder som är lämpliga beror på bland annat på hur känslig behandlingen är och vilka risker behandlingen kan innebära för medlemmarna. Exempel på säkerhetsåtgärder är

  • inloggning
  • behörighetsspärrar
  • brandväggar
  • kryptering
  • säkerhetskopiering 
  • begränsa åtkomsten till personuppgifterna
  • anti-virus-skydd
  • interna rutiner, instruktioner och riktlinjer.

Rapportera personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter, eller ett obehörigt röjande av eller obehörig åtkomst av personuppgifter. Exempel på personuppgiftsincidenter är att personuppgifter skickats till någon som inte ska dem, eller att datorer med personuppgifter stulits. Vissa typer av personuppgiftsincidenter ska anmälas till IMY inom 72 timmar från det att ni upptäckt incidenten. I vissa fall behöver ni också informera de registrerade utan dröjsmål.

Personuppgiftsincidenter

Utse ett dataskyddsombud

Ni kan välja att frivilligt utse ett dataskyddsombud. I vissa fall är det ett krav. Dataskyddsombudet ska hjälpa er att följa dataskyddsförordningen, till exempel genom att ge råd och utföra vissa kontroller.

Om ni har utsett ett dataskyddsombud ska medlemmarna få information om detta. Medlemmarna får kontakta dataskyddsombudet med frågor som rör er behandling av deras personuppgifter och om deras rättigheter vid behandlingen.

Krav på att utse ett dataskyddsombud gäller exempelvis om ni har som kärnverksamhet att behandla känsliga personuppgifter i stor omfattning.

Exempel på föreningar som kan behöva utse ett dataskyddsombud:

  • religiösa och politiska föreningar
  • föreningar som riktar sig mot människor med funktionsnedsättningar
  • hbtq-föreningar.

Om ni som förening har som kärnverksamhet att behandla känsliga personuppgifter bör ni läsa vidare om dataskyddsombud.

Dataskyddsombud

Skriftligt avtal med personuppgiftsbiträden 

Ibland kan det vara aktuellt att anlita ett personuppgiftsbiträde, dvs. någon utanför er organisation som ska behandla personuppgifter för er räkning, till exempel för att göra ett utskick till era medlemmar. I så fall krävs det ett skriftligt avtal med personuppgiftsbiträdet. Av avtalet ska det bland annat framgå att personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med era dokumenterade instruktioner. Personuppgiftsansvaret kan aldrig överlåtas och ni är fortfarande ansvarig för behandling som utförs av ett personuppgiftsbiträde.

Personuppgiftsbiträden

Senast uppdaterad: 13 april 2021
Sidans etiketter Dataskydd, Förening