Det är viktigt att anordnare av hobbyverksamhet såsom idrottsföreningar, vet hur länge de kan förvara hobbyidkarnas personuppgifter. Om man inte ser till att personuppgifter som inte längre behövs raderas kan det hända att man förvarar uppgifterna i flera år utan en laglig grund för uppgifternas behandling. Till exempel i händelse av ett dataläckage kan det i dessa fall leda till att mer personuppgifter hamna i utomståendes händer än om man hade raderat personuppgifter som inte längre behövs.
Hur definieras förvaringstiden för personuppgifter?
För vissa personuppgifter, till exempel uppgifter som förknippas med ett anställningsförhållande eller med bokföring, har förvaringstiden fastställts i lagstiftningen. Då förvarar man personuppgifterna under den tid som fastställts i lag och raderas därefter.
För alla typer av personuppgifter har dock någon precis förvaringstid inte fastställts i lag. Då ska personuppgiftsansvarige själv fastställa hur länge man förvarar de olika typerna av personuppgifter. När man fastställer förvaringstiden kan man utgå från att personuppgifter får förvaras endast så länge som det behövs för deras användningsändamål. Anordnaren av hobbyverksamhet bör först gå igenom de personuppgifter som hen behandlar och identifiera användningsändamålet för de olika personuppgifterna. Sedan personuppgiftsansvarige kan fastställa förvaringstiderna på basis av uppgifternas användningsändamål.
Vid fastställande av förvaringstiderna bör man till exempel beakta situationer där hobbyidkaren slutar delta i hobbyverksamheten. En del av uppgifterna kan raderas omedelbart, men man kan behöva förvara till exempel faktureringsuppgifter under en längre tid såsom förutsätts i lagstiftningen.
Vissa personuppgifter är mer känsliga än andra och behöver skyddas särskilt väl. Till exempel vid förvaring av hälsouppgifter ska man ta hänsyn till att uppgifterna är känsliga samt de eventuella olägenheter som spridning av uppgifterna kan medföra hobbyidkaren. Detta ska beaktas i synnerhet när det är fråga om hälsouppgifter av minderåriga barn. Hälsouppgifter ska förvaras så att utomstående inte har tillgång till dem, och uppgifterna får inte lämnas ut till en större grupp än vad som är nödvändigt.
Personuppgifternas förvaringstid fastställs på basis av deras användningsändamål: personuppgifter ska förvaras endast så länge som det behövs för ett visst ändamål.
Vad bör man ta hänsyn till vid förvaring av personuppgifter?
Personuppgifter förvaras i digitalt format till exempel i ärendehanterings- och ERP-system, applikationer och digitala dokument. Anordnaren av hobbyverksamhet ska försäkra sig om att endast personer som har rätt att behandla uppgifterna till exempel i sitt arbete har tillgång till uppgifterna.
Detta gäller också behandling av personuppgifter i pappersformat. Dokument kan förvaras till exempel i ett låsbart skåp, och nycklar till skåpet ges endast till personer som har rätt att behandla uppgifterna.
Vid förvaring av personuppgifter ska man också ta hänsyn till ändringar i personalen. Det är viktigt att anordnaren av hobbyverksamhet ser till att personer som inte längre deltar i verksamheten inte förvarar uppgifter utan grund till exempel på sina egna datorer och sin egen e-post.
När man förvarar personuppgifter ska man försäkra sig om att uppgifterna kan behandlas endastav personer som har rätt till det.
När och hur bör personuppgifter raderas?
När förvaringstiden för personuppgifterna löper ut ska uppgifterna raderas. Man kan radera uppgifterna automatiskt eller manuellt beroende på deras format och förvaringsställe. Uppgifterna ska raderas överallt där de finns: till exempel personuppgifter som sparats på molnet raderas också från nedladdade filer och e-post. Man ska även komma ihåg att radera säkerhetskopiorna.
Personuppgifter på papper ska förstöras så att personuppgifter som inte behövs längre blir kvar till exempel i mappar eller längs in i dokumentskåp. Dokument kan förstöras till exempel med en eller genom att placera dem i en avfallscontainer för dataskyddat papper.
Rersonuppgiftsansvarige ansvarar för att personuppgifter inte behandlas onödigt länge. Verksamhetsanordnaren ska ge anvisningar om adekvat radering av uppgifter till personer som behandlar personuppgifter inom hobbyverksamhet, till exempel coacher, lagledare, kassörer, frivilliga och vårdnadshavare. När man upprättar anvisningarna bör man ta hänsyn till att rollerna för de personer som deltar i hobbyverksamheten kan ändras även på kort varsel.
Radera personuppgifterna när deras förvaringstid har löpt ut. Radera även säkerhetskopiorna.
När anordnare av hobbyverksamhet sköter förvaringen och raderingen av personuppgifter korrekt kan hobbyidkarna koncentrera sig på sin hobby och lita på att deras personuppgifter är i goda händer.
Inom projektet GDPR4CHLDRN utformar man verktyg till stöd av tillämpningen av dataskyddslagstiftningen för föreningar som anordnar hobbyverksamhet för barn och unga. Projektet erbjuder information om skyddet för personuppgifter och dataskyddsrättigheterna även för barn och unga och deras föräldrar.
Iida Lautsi
Iida Lautsi är överinspektör vid dataombudsmannens byrå och deltar som sakkunnig i projektet GDPR4CHLDRN.
Inom projektet GDPR4CHLDRN utformar man verktyg till stöd av tillämpningen av dataskyddslagstiftningen för föreningar som anordnar hobbyverksamhet för barn och unga. Projektet erbjuder information om skyddet för personuppgifter och dataskyddsrättigheterna även för barn och unga och deras föräldrar.
- ett tvåårigt projekt, som tar slut i augusti 2024.
- Projektet finansieras av Europeiska unionens program för medborgare, jämlikhet, rättigheter och värden (Citizens, Equality, Rights and Values programme).
- Samordnare är dataombudsmannens byrå med TIEKE Tietoyhteiskunnan kehittämiskeskus ry som projektpartner.
Läs mera om GDPR4CHLDRN projektet på svenska
Tutustu projektiin ja lue artikkeleita suomeksi
Read articles and learn more about the project
Finansierat av Europeiska unionen. De synpunkter och åsikter som uttrycks är endast upphovsmännens och upphovsmännen tar ansvar för dessa. Europeiska Unionen eller Europeiska kommissionen kan inte hållas ansvariga för dessa.