BMK AURA Policy
1. Personuppgiftspolicy
GDPR En ny EU lag började gälla i hela Europa från 25 maj 2018.
Här kan ni läsa mer om vad BMK AURA gjort.
BMK AURAs Personuppgiftspolicy - Introduktion
BMK AURA stödjer sig på Riksidrottsförbundets arbete med GDPR. Föreningen har som ändamål att bedriva idrottslig verksamhet i enlighet med ”Idrottsrörelsens verksamhetsidé, vision och värdegrund”. Vår personuppgiftspolicy beskriver vad vi samlar in för personuppgifter, för vilka ändamål samt hur vi behandlar dem och arbetar med dataskydd generellt. Det finns särskilda regler för hur personuppgifter ska hanteras på ett tryggt och säkert sätt. Med anledning av den nya dataskyddsförordningen (GDPR), har BMK AURA kompletterat med en integritetspolicy. Den beskriver mer utförligt hur och varför vi sparar dina personuppgifter samt vilka rättigheter du har. Vill du läsa mer om integritetspolicyn så hittar du den längre ner, BMK AURA, Integritetspolicy.
Parter och ansvar för behandlingen av dina personuppgifter
BMK AURA, org.nr. 846000-1939, Eriksfältsgatan 30, 214 55 Malmö (nedan kallad ”föreningen”) är personuppgiftsansvarig för behandlingen av personuppgifter som sker inom ramen för föreningens verksamhet.
Insamling och behandling av information
Personuppgifter som behandlas inom idrottsrörelsen ska vara rimliga, relevanta och inte onödigt detaljerade i förhållande till vad de är till för. Konkret innebär uppgiftsminimering att idrottsrörelsen inte ska samla in mer uppgifter än vad som behövs för ändamålet med behandlingen.
I BMK AURA är grunden för all vår datainsamling och behandling att kunna upprätthålla vår tränings- och tävlingsverksamhet och kommunicera med våra kunder och medlemmar för olika ändamål kopplade till verksamheten.
Föreningen hanterar även personuppgifter i samband med ansökan om tävlingslicens till SF/SDF. Utöver behandlingen av personuppgifter vid licensansökningsprocessen behandlas personuppgifter vid varje tävlingstillfälle kopplat till licensens regelverk. Personuppgifterna behandlas vid anmälan till tävling, under pågående tävling och efter tävlingstillfället vid resultatrapportering.
Föreningen behandlar även personuppgifter för att ansöka om bidrag från bland annat Riksidrottsförbundet, Svenska Badmintonförbund, Skånes Badmintonförbund, Skånes Idrottsförbund och Malmö stad.
Vi säkerställer att tillgång till informationen begränsas till behöriga.
En grundregel är att vi inom idrottsrörelsen aldrig kan äga våra medlemmars personuppgifter – vi lånar dem.
Information från tredjeparter
Vi kan få information från personer som agerar för din räkning, till exempel om din förening anmäler dig till en tävling, och vi kan få informationen från tredjeparter som vi har relation med, t.ex. rankinglistor via nationella badmintonförbund. Denna information har normalt sitt ursprung i allmänt tillgängliga källor och behandlas endast för det syfte för vilket de införskaffades.
Delning av information
Vi delar din information med tredjeparter i samband med att vi anmäler till dig till tävlingar, träningsläger och för att kunna fullfölja våra åtagande gentemot till exempel olika idrottsförbund och bidragsgivande organisationer. I övrigt delar vi inte din information utan ditt specifika samtycke.
I de fall vi lagrar affärsinformation eller kontaktuppgifter i en molntjänst eller dylik webbapplikation säkerställer vi att parten uppfyller kraven i dataskyddsförordningen och tillämpar adekvata skyddsnivåer.
Uppgifterna kommer inte att överföras till tredje land och dina personuppgifter kommer inte att utsättas för automatiserat beslutsfattande.
Om föreningen vid något enstaka tillfälle måste dela dina personuppgifter med tredje land kommer du att informeras särskilt om detta. Det kan exempelvis vara aktuellt när/om du anmäls till tävling i tredje land
Hur länge sparar vi dina personuppgifter?
Personuppgifter får inte lagras längre än nödvändigt. När de inte längre behövs ska de antingen raderas eller avidentifieras. Uppgifter får inte sparas för att "de är bra att ha". Uppgifter om tidigare medlemmar får sparas upp till 24 månader, för att ge möjlighet att värva tillbaka denne.
Rätt till insyn, rättelse, radering och ändamålsbegränsning
Du som medlem inom idrottsrörelsen har rätt till och behöver känna till vilken typ av uppgifter om dig som generellt behandlas. Idrottsrörelsens uppförandekod för behandling av uppgifter hittar du uppförandekod för idrottsrörelsen Du har alltid rätt att kontakta oss för att få tillgång till de uppgifter vi har om dig, få uppgifterna rättade, raderade eller kräva att vår behandling av dina uppgifter begränsas. Vi använder oss av IdrottOnline och som medlem kan du få inloggningsuppgifter till IdrottOnline för att nå din profil - "Min sida". Vänd dig till BMK AURA om du önskar inloggningsuppgifter. ”Min sida” når du genom att, efter du loggat in, klicka på ditt namn i övre högra hörnet, och därefter knappen "Min sida". På ”Min sida” kan du redan idag hantera dina egna kontaktuppgifter och byta lösenord, men du kommer framöver även kunna: • Exportera dina uppgifter (dataportabilitet) • Begära registerutdrag inom IdrottOnline • Begära radering inom IdrottOnline *) *) Rätten till radering kan begränsas av andra lagliga hinder, läs mer på www.datainspektionen.se Det är viktigt att dina personuppgifter (t.ex. telefonnummer och adress) är korrekta och uppdaterade.
Ändringar i personuppgiftspolicyn
Vi kommer att revidera vår policy vid behov och publicera ändringarna på vår hemsida. Vi kommer inte att göra omfattande förändringar vad avser säkerhet, ändamål med behandling eller delning av information utan att först meddela dig.
Kontakt vid frågor och klagomål
Du kan kontakta personuppgiftsansvarig hos BMK AURA för alla dina frågor kring dataskydd via mail till [email protected] eller via vanlig post till BMK AURA, Att: Personuppgiftsansvarig, Eriksfältsgatan 30, 214 55 Malmö.
Du har rätt att inge klagomål till Datainspektionen som är tillsynsmyndighet. Detta gör du enklast genom kontakt via www.datainspektionen.se. Se gärna denna länk för tips om hur du skriver ett klagomål samt hur Datainspektionen behandlar ditt ärende: https://www.datainspektionen.se/om-oss/arbetssatt/klagomal/.
Om du vill veta mer
Har du frågor om föreningens personuppgiftsbehandling eller vill utöva dina rättigheter kontaktar du föreningen på följande adress: [email protected] eller vänder dig till föreningens styrelse.
2. Integritetspolicy
Integritetspolicy för BMK AURA
Övergripande
EU har beslutat om en ny dataskyddsförordning som reglerar hur personuppgifter får hanteras – GDPR (General Data Protection Regulation). GDPR träde i kraft den 25 maj 2018 och ersätter personuppgiftslagen (PUL).
I samband med införandet av GDPR har Riksidrottsförbundet även tagit fram en uppförandekod för behandling av personuppgifter. Det är för att skapa en enhetlig behandling av personuppgifter inom idrottsrörelsen och för att förenkla den specifika information som förbund och föreningar inom idrottsrörelsen måste känna till.
Du som medlem inom idrottsrörelsen har rätt till och behöver känna till vilken typ av uppgifter om dig som generellt behandlas. Idrottsrörelsens uppförandekod för behandling av uppgifter hittar du via denna länk, uppförandekod för idrottsrörelsen
Parter och ansvar för behandlingen av dina personuppgifter
BMK AURA, org.nr. 846000-1939, Eriksfältsgatan 30, 214 55 Malmö (nedan kallad ”föreningen”) är personuppgiftsansvarig för behandlingen av personuppgifter som sker inom ramen för föreningens verksamhet.
Föreningen har som ändamål att bedriva idrottslig verksamhet i enlighet med ”Idrottsrörelsens verksamhetsidé, vision och värdegrund”.
Varför behandlar vi dina personuppgifter?
För att föreningen ska kunna bedriva sin verksamhet behandlas personuppgifter för olika ändamål kopplade till verksamheten.
Föreningen behandlar personuppgifter för att administrera löpande föreningsaktiviteter (ex. träningsverksamhet och medlemsmöten), kommunicera med medlemmarna (kallelser till aktiviteter, information till målsmän m.m.) samt hantera medlemsrelaterade ekonomiska transaktioner (medlemsavgifter och tävlingsavgifter m.m.).
Föreningen hanterar även personuppgifter i samband med ansökan om tävlingslicens till SF/SDF. Utöver behandlingen av personuppgifter vid licensansökningsprocessen behandlas personuppgifter vid varje tävlingstillfälle kopplat till licensens regelverk. Personuppgifterna behandlas vid anmälan till tävling, under pågående tävling och efter tävlingstillfället vid resultatrapportering.
Föreningen behandlar även personuppgifter för att ansöka om bidrag från bland annat Riksidrottsförbundet, Svenska Badmintonförbundet, Skånes Badmintonförbund, Skånes Idrottsförbund och Malmö stad.
Föreningen är personuppgiftsansvarig för behandlingen av de personuppgifter som sker vid:
• Hantering av medlemskap i föreningen
• Föreningsadministration
• Deltagande i föreningens träningsverksamhet
• Deltagande i föreningens tävlingsverksamhet
• Licenshantering
• Ansökan om bidrag
• Sammanställning av statistik och uppföljning
• Utbildningar arrangerade av föreningen
• Kontakt med medlem
• Besök på vår hemsida
• Publicering av material på hemsida och sociala medier
Vilka delar vi personuppgifter med?
Vi utnyttjar Riksidrottsförbundets "IdrottOnline" och Malmö stads system för
närvaroregistrering "Rbok". För tävlingar och seriespel använder vi "Tournament Software" från det holländska företaget "Visual Reality" och det svenska systemet "Scoreboard Live". Styrelsens uppdrag är att följa de instruktioner som utfärdas centralt.
Tournament Software
Alla badmintonklubbar i Sverige använder "Tournament Software" för tävlingar och seriespel. Systemet ägs och hanteras av det holländska företaget "Virtual Reality". Information finns på:
https://www.badminton.nu/tavlingsspel/forarrangorer/TournamentSoftware/
http://badmintonsweden.tournamentsoftware.com/Home
https://www.tournamentsoftware.com/
Scoreboard Live
Information om Scoreboard Live finns på http://www.scoreboardlive.se
Malmö Stad
Malmö stads behandling av föreningens personuppgifter se information på Malmö stad, föreningsmedlemmars personuppgifter.
Uppgifterna kommer inte att överföras till tredje land och dina personuppgifter kommer inte att utsättas för automatiserat beslutsfattande.
Om föreningen vid något enstaka tillfälle måste dela dina personuppgifter med tredje land kommer du att informeras särskilt om detta. Det kan exempelvis vara aktuellt när/om du anmäls till tävling i tredje land.
Vilken laglig grund har vi för personuppgiftsbehandling?
Föreningen har nedan sammanställt den lagliga grunden för behandlingen av personuppgifter som sker inom föreningens verksamhet.
Hur länge sparar vi dina personuppgifter?
Föreningen kommer att genomföra en bedömning årsvis om ändamålet med behandlingen av personuppgifterna kvarstår. Om inte ändamålen med behandlingen av personuppgifterna kvarstår kommer uppgifterna att raderas.
Vilka rättigheter har du?
Du som registrerad i föreningen har flera rättigheter som du bör känna till.
Du har rätt att få ett registerutdrag avseende föreningens behandling av dina personuppgifter. Föreningen ska vid begäran av registerutdrag förse dig med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som du begär får föreningen ta ut en rimlig avgift utifrån administrativa kostnader. Du kan enkelt begära ett registerutdrag i IdrottOnline via Min Sida.
Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du kan enkelt begära dataportabilitet av dina personuppgifter i IdrottOnline via Min Sida.
Du har rätt att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifterna tills de blir ändrade.
Du har under vissa omständigheter rätt att bli raderad:
• Om uppgifterna inte längre behövs för de ändamål som de samlades in för
• Om behandlingen grundar sig på den enskildes samtycke och du återkallar samtycket
• Om behandlingen sker för direktmarknadsföring och du motsätter sig att uppgifterna behandlas
• Om du motsätter sig personuppgiftsbehandling som sker inom ramen för
myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än dina intressen
• Om personuppgifterna har behandlats olagligt
• Om radering krävs för att uppfylla en rättslig skyldighet
• Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk
Du har också rätt att dra in ett samtycke, motsätta dig automatiskt beslutsfattande, profilering och invända mot direktmarknadsföring.
Du kan när som helst utöva dina rättigheter genom att begära tillgång till och rättelse eller radering av personuppgifter, begära begränsning av behandling eller invända mot behandling.
Vidare har du rätt att inge ett klagomål avseende föreningens behandling av personuppgifter till Datainspektionen, besök www.datainspektionen.se.
Instruktioner för att tillvarata enskildas rättigheter
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de registrerade bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen.
Under respektive rättighet redogörs för hur föreningen arbetar för att tillvarata de
registrerades rättigheter samt för att underlätta de registrerades utövande av rättigheterna:
• Rätt till information vid insamlande av personuppgifter
• Rätt till registerutdrag
• Rätt till rättelse
• Rätt till radering
• Rätt till dataportabilitet
• Rätt att invända mot behandling
• Rätt att motsätta sig automatiserad behandling
• Rätt att inge klagomål till tillsynsmyndighet
• Rätt till skadestånd
Rätt till information vid insamlande av personuppgifter
Information till de registrerade är en viktig del av integritetsskyddet. Föreningen har en skyldighet att ge klar och tydlig information till de registrerade (medlemmar, förtroendevalda, funktionärer, ledare etc.) vid insamling av personuppgifter.
I nedanstående tabell sammanställs den information som föreningen är skyldig att
tillhandahålla vid insamlandet av personuppgifter. Informationsskyldigheten skiljer sig beroende på om insamlandet av personuppgifter sker från den registrerade eller från någon annan.
Rätt till registerutdrag
Den registrerade har rätt att få ett registerutdrag avseende föreningens behandling av personuppgifter som gäller den registrerade. Föreningen ska på begäran av registerutdrag förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får föreningen ta ut en rimlig avgift på grundval av de administrativa kostnaderna.
Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Registerutdraget ska tillhandahållas utan onödigt dröjsmål och senast inom en månad.
I nedanstående tabell sammanställs den information som föreningen är skyldig att tillhandahålla vid begäran om registerutdrag:
Rätt till rättelse
Den registrerade har rätt att begära att föreningen utan onödigt dröjsmål rättar felaktiga personuppgifter som rör honom eller henne. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
Rättelse kan begäras genom att kontakta föreningen på mailadressen [email protected] eller vända sig till föreningens styrelse.
Rätt till radering ”rätten att bli bortglömd”
Under vissa omständigheter har den registrerade rätt att bli bortglömd. Föreningen är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
• Om uppgifterna inte längre behövs för de ändamål som de samlades in för
• Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
• Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att
uppgifterna behandlas
• Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för
myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
• Om personuppgifterna har behandlats olagligt
• Om radering krävs för att uppfylla en rättslig skyldighet
• Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk
Skyldighet att informera andra personuppgiftsansvariga
Om föreningen har offentliggjort personuppgifter och enligt ovanstående förutsättningar är skyldig att radera personuppgifterna, ska föreningen med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta andra personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. Undantag till rätten att bli bortglömd.
Rätten att bli bortglömd ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
• För att utöva rätten till yttrande- och informationsfrihet
• För att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning
• För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
• För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen
För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
• Hur begär en registrerad att bli raderad i er verksamhet? Radering kan begäras genom att kontakta föreningen på mailadressen [email protected] eller vända sig till föreningens styrelse.
Rätt till dataportabilitet
Under vissa omständigheter har den registrerade rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format. Följande förutsättningar gäller för rätten till dataportabilitet:
• Uppgifterna har tillhandahållits av den registrerade (eller genererats av den registrerades agerande)
• Behandlingen sker med stöd av samtycke eller avtal
• Behandlingen sker automatiserat
• Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att erhålla personuppgifterna inte inverka på andra registrerades rättigheter och friheter enligt dataskyddsförordningen
Rätten till dataportabilitet gäller inte vid behandling som stödjer sig på allmänt intresse och myndighetsutövning.
I de fall det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.
Den registrerade kan få ut och överföra sina personuppgifter i ”Min sida” i IdrottOnline. Funktionen har arbetats fram för att underlätta för den registrerade att utöva sina rättigheter avseende dataskydd och personlig integritet.
Rätt att invända mot behandling
Den registrerade har rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning. Om den registrerade har invänt mot sådan behandling, ska en ny prövning göras utifrån den registrerades situation.
Behandlingen måste upphöra om inte föreningen kan visa på tvingande berättigade skäl eller behandlingen sker för rättsliga anspråk. Exempel på tvingande berättigade är att behandlingen är gynnsam för samhället i stort, ex. forskning för att förutse spridning av sjukdomar.
Om en registrerad invänder mot behandling som avser direkt marknadsföring måste
behandlingen upphöra.
Hur ska en registrerad invända mot behandling i er verksamhet? Den registrerade kan invänta mot behandling och en sådan invändning ska genom att kontakta föreningen på mailadressen [email protected] eller vända sig till föreningens styrelse.
Rätt att motsätta sig automatiserad behandling
Den registrerade har rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling, inklusive profilering, vilka får rättslig eller liknande effekt.
Automatiserade beslut är endast tillåtna om det är nödvändigt för fullgörande av avtal med den registrerade, vid stöd i lagstiftning eller om föreningen har ett uttryckligt samtycke.
Hur ska en registrerad motsätta sig automatiserad behandling i er verksamhet? Den registrerade kan invänta mot automatiserad behandling genom att kontakta föreningen på mailadressen [email protected] eller vända sig till föreningens styrelse.
Rätt att inge klagomål till tillsynsmyndighet
Den som anser att någon behandlar uppgifter om honom eller henne i strid med dataskyddsförordningen kan lämna in ett klagomål till Datainspektionen. Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till den som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om den klagande inte får besked inom den tiden, kan klaganden vända sig till domstol för att begära besked.
Rätt till skadestånd
En person som har lidit skada på grund av att vederbörandes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.
Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. Den personuppgifts-ansvarige och personuppgiftsbiträdet får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.Föreningens skyldighet att underlätta den registrerades utövande av rättigheterna.
Föreningen har en skyldighet att underlätta utövandet av rättigheterna. För att underlätta de registrerades utövande av rättigheterna kan föreningen ha utsett en kontaktperson avseende dataskydd.
Om du vill veta mer
Har du frågor om föreningens personuppgiftsbehandling eller vill utöva dina rättigheter kontaktar du föreningen på följande adress: [email protected] eller vänder dig till föreningens styrelse.