BEHANDLING AV PERSONUPPGIFTER

PERSONUPPGIFTER

Uppförandekod för idrottsrörelsen

avseende personuppgiftsbehandling. Riksidrottsför- bundet är ansvarig för att uppdatera uppförandeko- den vid behov, inklusive att koordinera godkännan- deprocessen med Datainspektionen.

Datum för senaste uppdateringen, 14 februari 2018.

1. Bakgrund . . . .4

1.1 Syfte . . . .4

1.2 Tillämpningsområde och omfattning ^{. . . .}4

1.3 Tillsyn och efterlevnad . . . .4

1.4. Information och internt ansvar . . . .4

2. Definitioner . . . .6

3. Införande av uppförandekod . . . .7

4. Grundläggande principer . . . .8

4.1. Introduktion . . . .8

4.2. Översikt över de grundläggande principerna . . . .8

4.3. Laglighet, skälighet, transparens . . . .9

4.4. Ändamålsbegränsning . . . .9

4.5. Uppgiftsminimering . . . .9

4.6. Riktighet . . . .9

4.7. Lagringsbegränsning . . . .9

4.8. Integritet och sekretess . . . .9

4.9. Redovisande av regelefterlevnad – ”Accountability” . . . . 10

5. Laglig grund för personuppgiftsbehandling inom idrottsrörelsen . . . . 10

5.1. Avtal . . . . 10

5.2. Rättslig förpliktelse . . . . 10

5.3. Uppgift av allmänt intresse . . . . 12

5.4. Myndighetsutövning . . . . 12

5.5. Intresseavvägning . . . . 13

5.6. Samtycke . . . . 13

6. Typer av personuppgiftsbehandling inom idrottsrörelsen . . . . 15

6.1. Medlemskap . . . . 15

6.2. Tävling . . . . 15

6.3. Licenshantering . . . . 15

6.4. Fördelning av stöd . . . . 16

6.5. Utbildning . . . . 16

6.6. Bestraffningsärenden enligt RF:s stadgar . . . . 16

6.7. Matchfixing . . . . 16

6.8. Antidoping . . . . 17

6.9. Ordningsstörningar . . . . 17

7. Överföring av personuppgifter . . . . 19

7.1. Överföring av personuppgifter till andra organisationer . . . . 19

7.2. Tredjelandsöverföringar . . . .19

8. Enskildas rättigheter . . . . 19

8.1. Allmänt . . . . 19

8.2. Rätt till information . . . . 19

8.3. Registerutdrag . . . . 19

8.4. Rätt till rättelse och radering . . . .20

8.5. Rätt till begränsning av behandling ^{. . . .} 20

8.6. Dataportabilitet . . . . 20

8.7. Rätt att göra invändningar . . . .20

8.8. Rätt att inte bli föremål för automatiserat beslutsfattande . . . . 20

9. Särskilda frågor . . . . 22

9.1. Personuppgifter i ostrukturerat material . . . . 22

9.2. Barns personuppgifter . . . . 22

9.3. Behandling av särskilda kategorier av uppgifter . . . . 22

9.4. Personnummer och samordnings- nummer . . . . 22

10. Ansvar och sanktioner . . . . 23

10.1 Ansvar . . . . 23

10.2 Sanktioner . . . . 23

1. Bakgrund

Riksidrottsförbundet (”RF”) är paraplyorganisation inom den svenska idrottsrörelsen. Idrottsrörelsen består av drygt 3 miljoner medlemmar i ca 20 000 idrottsföreningar som i sin tur är medlemmar i ett eller flera av 71 nationella specialidrottsförbund.

Respektive specialidrottsförbund är medlem i RF och idrottsrörelsens studieförbund SISU Idrottsut- bildarna. För att stödja, utbilda och organisera idrottsrörelsens verksamhet finns även regionala distriktsidrottsförbund, distriktsstudieförbund och specialidrottsdistriktsidrottsförbund. Dessutom finns på nationell nivå Sveriges Olympiska Kommit- té. Organisationerna under RF betecknas nedan ge- mensamt som Medlemmarna.

 Enligt artikel 40 i EU:s dataskyddsförordning (data skyddsförordningen) får organisationer som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utarbeta uppförande- koder i syfte att specificera hur dataskyddsförord- ningen ska tillämpas inom en viss bransch.

 RF ser antagandet och godkännandet av en upp- förandekod som en möjlighet att specificera hur Medlemmarna ska tillämpa dataskyddsförordning- ens bestämmelser i praktiken.

 Mot bakgrund av ovan har denna uppförandekod (Uppförandekoden).

1.1. Syfte

Att säkerställa en säker och lagenlig hantering av personuppgifter är en viktig fråga för RF.

 RF och Medlemmarna behandlar en stor mängd per sonuppgifter, vilket även kan innefatta känsliga uppgifter om exempelvis hälsa, brott samt uppgifter om barn. Felaktig hantering av dataskyddsfrågor kan innebära såväl ett hot mot enskildas personliga integ ritet som förlorat förtroende och påföljder för RF och dess Medlemmar i sina respektive roller som per sonuppgiftsansvariga och personuppgiftsbiträden.

 Syftet med Uppförandekoden är att underlätta för RF:s och Medlemmarnas olika verksamhetsom- råden vid behandlingen av personuppgifter.

1.2. Tillämpningsområde och omfattning

Denna Uppförandekod gäller för RF samt alla Med- lemmar som ett komplement till dataskyddslagen och dataskyddsförordningen. I den mån tvingande

lagstiftning föreskriver striktare krav avseende be- handling av personuppgifter, gäller alltid sådana krav före vad som anges i denna uppförandekod.

 Uppförandekoden är inte uttömmande och redo- gör därför inte nödvändigtvis för alla krav och skyl- digheter som RF och dess Medlemmar kan omfattas av vid behandling av personuppgifter.

1.3. Tillsyn och efterlevnad

Anslutning till Uppförandekoden är ett villkor för medlemskap i RF. Tillsyn över efterlevnad av be- stämmelserna i Uppförandekoden görs löpande och vid kännedom om eller risk för oegentligheter, och därtill görs en särskild granskning en gång varje år i samband med den generella granskningen.

 Vid misstanke om överträdelse av denna kod ska berört SF eller, om misstanken rör SF, RF initiera en utredning om överträdelsen enligt vad som framgår av avsnitt 10 jämte RF:s stadgar.

1.4. Information och internt ansvar

Varje Medlem är ansvarig för att göra denna uppfö- randekod känd för anställda, ideella och externa uppdragstagare inom organisationen. Varje Med- lem ska även säkerställa att det finns en rapporte- ringsfunktion för att anställda, ideella och externa uppdragstagare ska kunna rapportera överträdel- ser av denna Uppförandekod till ansvarig/-a inom Medlemmen. En sådan rapporteringsfunktion kan även omfatta flera Medlemmar eller grupper av Medlemmar, såsom idrottsspecifika sammanslut- ningar av Medlemmar.

 Styrelsen inom respektive Medlem är övergripan- de ansvarig för att denna Uppförandekod följs av alla anställda, ideella och externa uppdragstagare inom medlemsorganisationen.

 För övrig information angående sanktioner och ansvar, se avsnitt 10. För frågor gällande denna Upp- förandekod eller övriga frågor som är relaterade till dataskydd, vänligen kontakta dataskydd@rf.se.

2. Definitioner

”Annan mottagare” En annan part som den personuppgiftsansvarige lämnar uppgifter till och som behandlar personuppgifter för sin egen räkning, t.ex. WADA.

”Behandling” En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhanda- hållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”Dataskyddsförordningen” Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG.

”Personuppgifter” Personuppgifter är alla uppgifter som avser en identifierad eller iden- tifierbar fysisk person och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, identi- fikationsnummer, lokaliseringsuppgifter, onlineidentifikatorer eller faktorer som är specifika för en persons fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

”Personuppgiftsansvarig” Den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

”Personuppgiftsbiträde” Den som behandlar personuppgifter för den Personuppgiftsansvariges räkning.

”Registrerad” Den fysiska person som en personuppgift avser.

”Tredje part” Någon annan än den registrerade, den personuppgiftsansvarige, person- uppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

”Underbiträde” Den som behandlar personuppgifter för den personuppgiftsansvariges räkning på uppdrag av den personuppgiftsansvariges personuppgifts- biträde, t.ex. en underleverantör till personuppgiftsbiträdet.

3. Införande av uppförandekod

RF och dess Medlemmar behandlar en stor mängd personuppgifter om exempelvis idrottsutövare, funktionärer och ledare. Uppförandekoden ska tillse att RF och dess Medlemmar lever upp till kraven en- ligt dataskyddsförordningen.

 Det finns även en förväntan från de registrerade vars uppgifter behandlas av RF och Medlemmarna på att de registrerades rätt till skydd av den person- liga integriteten tillgodoses. Överträdelser av regel-

verken på området kan ytterst leda till att RF och dess Medlemmar drabbas av omfattande sanktio- ner och förlorat förtroende.

 RF och dess Medlemmar har därför genom Riks- idrottstyrelsens (”RS”) samt SISU Förbunds sty- relsens (”FS”) styrelsebeslut godkänt innehållet i denna Uppförandekod och gemensamt antagit denna Uppförandekod.

4. Grundläggande principer

4.1. Introduktion

I detta avsnitt beskrivs de grundläggande principer som ska gälla för alla typer av behandlingar av per- sonuppgifter som utförs inom RF:s och Medlemmar- nas verksamheter. Den praktiska innebörden av dessa principer utvecklas i följande avsnitt.

Det måste finnas en laglig grund för behandlingen.

Den registrerade ska in- formeras om behandlingen.

Endast de personuppgifter som behövs för att uppfylla ändamålet med behand- lingen får behandlas.

Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifterna.

De personuppgifter som behandlas ska vara korrekta och om nöd- vändigt uppdaterade.

Personuppgifterna får endast behandlas för specifika och uttryckliga ändamål. Ändamålen kan skilja per verksamhets- område (utveckling, administration etc.).

Personuppgifterna får bara sparas så länge det behövs för att uppfylla ändamålet med behandlingen.

Organisationer ska kunna visa att förordningens krav uppfylls, t. ex.

genom dokumenterade beslut. Interna policys och vidtagna säkerhets- åtgärder.

Integritet och sekretess

Lagrings- minimering Redovisande av efterlevnad

Laglighet, skälig- het, transparens

Uppgifts- minimering

Riktighet Ändamåls- begränsning

4.2. Översikt över de

grundläggande principerna

4.3. Laglighet, skälighet, transparens

Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade.

 För RF och Medlemmarna innebär detta att varje typ av behandling ska baseras på en giltig laglig grund, så som fullgörande av avtal eller uppgift av allmänt intresse. Laglig grund behandlas närmare i avsnitt 5.

 RF och Medlemmarna ska därtill alltid ge de registrerade tydlig och transparent information av- seende behandlingen av personuppgifter.rerade tydlig och transparent information avseende be- handlingen av personuppgifter.

4.4. Ändamålsbegränsning

Personuppgifter ska endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

4.5. Uppgiftsminimering

Personuppgifter som behandlas av RF eller Medlem- marna ska vara adekvata, relevanta och inte allt för omfattande i förhållande till ändamålen.

4.6. Riktighet

Personuppgifter som behandlas av RF eller Medlem- marna ska vara korrekta och om nödvändigt uppda- terade.

4.7. Lagringsbegränsning

Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med be- handlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras. Att lagra person- uppgifter endast för att de ”kan vara bra att ha” är inte tillåtet eftersom det strider mot principen om uppgiftsminimering, vilken ska förhindra lagring av överflödig information. Riktlinjer för lagring av per- sonuppgifter om tidigare medlem i Medlemmar är att sådan lagring får ske upp till 24 månader efter att medlemskapet avslutats för att kunna värva tillbaka en tidigare medlem.

 Lagring kan ske i Medlems verksamhetssystem såsom exempelvis IdrottOnline, GIT och Fogis. För de system som Förbund levererar till Förening an- svarar Förbund för att till Medlemmarna tillhanda-

hålla information om hur personuppgifter bör lagras i systemen.

 Lagring kan även ske i andra externa system så- som bokföringssystem och övriga administrativa system. För sådana system ansvarar varje Medlem själv för att tillse att lagringen begränsas så långt möjligt. Information som inte måste lagras för att leva upp till lagkrav såsom bokföring-, skatterättslig- eller arbetsrättslig lagstiftning ska exempelvis rade- ras om ändamålet med behandlingen är att uppfylla en rättslig förpliktelse.

 Personuppgifter kan slutligen även lagras utanför system, i dokument såsom protokoll, tävlingsanmäl- ningar m.m. För sådan behandling av personuppgif- ter ansvarar varje Medlem. Här bör utgångspunkten vara att protokoll och övriga dokument ska raderas om dokumenten inte måste lagras på grund av lag- krav, förenings- eller förbundsadministrativa skäl eller för att föra statistik.

4.8. Integritet och sekretess

4.8.1. Allmänt

Personuppgifter ska av RF och Medlemmarna alltid behandlas på ett sätt som säkerställer lämplig säker- het med användning av tekniska eller organisa- toriska åtgärder. RF och Medlemmarna ska alltid behandla uppgifter om enskildas personliga förhål- landen konfidentiellt.

4.8.2. Krav på tekniska säkerhetsåtgärder IT- och informationssäkerhetspolicy

RF och varje Medlem är skyldig att implementera en IT- och informationssäkerhetspolicy som mer i de- talj fastställer innebörden av de åtgärder som upp- tas i denna punkt. Mall för enkel IT- och informa- tionssäkerhetspolicy har tagits fram av RF.

Privacy by design och privacy by default

Kraven i dataskyddsförordningen på privacy by de- sign och privacy by default innebär bland annat att antalet uppgifter som RF och Medlemmarna be- handlar ska minimeras till vad som är absolut nöd- vändigt för att uppfylla ändamålen och att IT-syste- mens förhandsinställningar ska vara de mest integritetsvänliga möjliga. Arbetet med anpassning av de verksamhetssystem som Förbund tillhanda- håller ska utföras av Förbund i samarbete med eventuella systemleverantörer för att samtliga Medlemmars system ska uppfylla dataskyddsför- ordningens krav på privacy by design och privacy by default.

Behörighetskontroll

RF och Medlemmarna ska säkerställa att behörighets- kontroll används för de system som innehåller per- sonuppgifter i de fall aktuella system tillåter sådana.

Loggning

I de fall de system som används av RF och Medlem- marna tillåter loggning ska åtkomst till personupp- gifter i RF:s och Medlemmarnas system kunna följas upp i efterhand genom loggar, där det ska framgå vem som har haft åtkomst samt tidpunkten för åt- komsten.

Åtkomstskydd

Datorutrustning och dylikt som innehåller person- uppgifter ska förvaras så att obehörig åtkomst för- svåras och inte lämnas framme. Om inlåsning inte är möjlig ska andra möjliga åtgärder vidtas för att för- hindra att obehörig åtkomst sker. Ett godtagbart al- ternativt till inlåsning är kryptering.

Skydd mot extern åtkomst

RF:s och Medlemmarnas IT-system ska vara skyd- dade mot extern åtkomst så långt som möjligt med hänsyn till aktuella IT-system, Medlems storlek och organisation m.m. Sådant skydd kan exempelvis uppnås genom brandväggar eller skyddade över- föringar.

Pseudonymisering och anonymisering

I de fall pseudonymisering och anonymisering är möjliga och lämpliga åtgärder ska pseudonymise- ring och anonymisering tillämpas för att skydda de personuppgifter som behandlas av RF och Medlem- marna.

4.8.3. Krav på organisatoriska säkerhetsåtgärder

RF och varje Förbund ska organisera sig på ett lämp- ligt sätt för att säkerställa att bestämmelserna i denna Uppförandekod och enligt lag uppfylls ge- nom tillhandahållande av malldokument och andra hjälpmedel.

4.8.4. Incidenthantering

RF och Medlemmarna ska ha en åtgärdsplan för hantering, identifiering, utvärdering och begräns- ning av personuppgiftsincidenter, inbegripet rap- portering till tillsynsmyndighet inom de tidsramar som följer av lag.

4.9. Redovisande av regelefterlevnad – ”Accountability”

RF och Medlemmarna ska åtminstone fortlöpande dokumentera de implementerade och planerade processer och åtgärder som avser dataskyddsfrågor.

 Vidare ska RF och Medlemmarna föra register över alla typer av behandling av personuppgifter som utförs, och kunna redovisa ett sådant register för såväl externa parter som tillsynsmyndigheten när så krävs enligt lag.

 För att säkerställa redovisande av regelefterlev- nad har malldokument såsom registerförteckning, instruktion för behandling av personuppgifter samt andra typer av hjälpmedel och malldokument tagits fram av RF för användning av Medlemmarna.

5. Laglig grund för personuppgiftsbehandling inom idrottsrörelsen

RF och Medlemmarna behandlar en stor mängd per- sonuppgifter inom sin verksamhet. Behandling av personuppgifter får endast ske om det finns en laglig grund för behandlingen.

 Nedan redovisas de lagliga grunder som bedömts vara tillämpliga för de ändamål för vilka RF och Med- lemmarna behandlar personuppgifter.

5.1. Avtal

Avtal kan användas som rättslig grund för RF och Medlemmarnas behandling av personuppgifter i syfte att administrera medlemskap i föreningar och förbund samt för tävlings- och licensadministration.

5.2. Rättslig förpliktelse

I riktlinjerna avseende statens bidrag till idrotten ska RF i en särskild rapport återrapportera en redo- visning till regeringen bland annat innehållande in- formation kring deltagare i aktiviteter förenade med LOK-stöd uppdelat på ålder och kön. Vidare ska informationen bland annat belysa effekter av arbe- tet för integration och jämställdhet. Informationen ska vidare påvisa en utveckling över tid och därför ska det senaste året redovisas samt en jämförelse med motsvarande information från de två föregå- ende åren. För att uppfylla dessa krav på återredo- visning är det avgörande för RF att kunna föra statis- tik över medlemmar.

I enlighet med ordningslagen (1993:1617) samt la- gen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ska den som anordnar en all- män sammankomst eller offentlig tillställning svara för att det råder god ordning vid sammankomsten eller tillställningen. För att uppfylla god ordning har arrangören rätt att bestämma vem som ska få vistas där. Idrottsrörelsen använder ett system med för- bud i vissa fall för personer att under viss tid besöka idrottsevenemang, så kallad arrangörsavstängning.

Dessa förbud meddelas med stöd av vad som brukar benämnas arrangörsrätten. För att arrangören ska kunna fullgöra sitt åtagande att tillse god ordning behöver arrangören behandla personuppgifter av- seende de personer som tilldelats arrangörsav- stängning.

5.3. Uppgift av allmänt intresse

Den personuppgiftsbehandling som utgör ett direkt led i främjandet av idrottsutövning, eller som har annan naturlig anknytning till idrottsverksamheten, är nödvändig för att utföra en uppgift av allmänt in- tresse ¹.

 Att idrottsrörelsen och den allmännyttiga ideella verksamheten är av allmänt intresse har slagits fast av riksdagen i ett flertal beslut. Av propositionen En idrottspolitik för 2000-talet - folkhälsa, folkrörelse och underhållning framgår att ”den folkrörelsebase- rade idrottsrörelsen, med sin demokratiska upp- byggnad, sitt breda engagemang och sina ideella ledarkrafter är en mycket stor tillgång för vårt sam- hälle och skapar mer än någon annan verksamhet tillfällen till möten och motionsaktiviteter för männ- iskor i olika åldrar och med olika social och etnisk bakgrund. Aktiva och ledare av båda könen kan ge- nom positiva insatser verka som förebilder för unga människor och bidra till att de skapar sig en egen identitet. Idrottsrörelsen kommer att vara en stor tillgång för vårt samhälle även på 2000-talet.” ²  Idrottsrörelsen som en av de största folkrörel- serna är en viktig del av civilsamhället. Av proposi- tionen En politik för det civila samhället framgår att

”det är omöjligt att föreställa sig den svenska demo- kratin med grundstenar som allmän och lika röst- rätt, jämställdhet mellan könen, och offentlighets- principen, utan den kamp för människor fört utifrån sitt ideella engagemang. Den svenska demokratins historia är till stora delar det civila samhällets histo- ria. Därför bör den framåtblickande politiken för det civila samhället vara grundad i medvetenhet om och ett erkännande av dess historiska betydelse för demokratin.” ³ Mot bland annat den bakgrunden har riksdagen beslutat att målen för politiken för det ci- vila samhället är ”att villkoren för det civila samhäl- let som en central del av demokratin ska förbätt- ras.” ⁴

 Ett exempel på lagstiftarens syn på allmännyttiga

ideella föreningar såsom utförande av uppgifter av allmänt intresse är det undantag från inkomstskatt som infördes år 1977. Av propositionen framgår bland annat att ideella föreningar kännetecknas av att enskilda personer samverkar för att främja så- dana ändamål som i regel utan vidare brukar anses allmännyttiga. Just denna på det enskilda initiativet grundade form av samverkan har ett betydande värde för vårt samhällsliv. Det betonades särskilt att värdet inte bara ligger i att de ideella föreningarna förbättrar livsvillkoren för stora persongrupper och därigenom utgör ett värdefullt komplement till det allmännas insatser. Ett minst lika stort värde har själva föreningsarbetet, det vill säga det förhållande att enskilda personer frivilligt och ofta utan ersätt- ning samverkar för att lösa olika ideella uppgifter.

Skattelagstiftningen bör därför utformas så att den inte motverkar förekomsten av ett vitalt förenings- liv. ⁵

 Även i EUF-fördraget lyfts idrottens särart fram. I artikel 165:1 står att ”unionen ska bidra till att främ- ja europeiska idrottsfrågor och ska då beakta idrot- tens specifika karaktär, dess strukturer som bygger på frivilliga insatser samt dess sociala och pedago- giska funktion”. ⁶

 För ändamål såsom att föra statistik över resultat och rekord är det av stor betydelse att personupp- gifter kan behandlas även efter att medlemskap av- slutats. Avtal är därför inte en lämplig rättslig grund för all behandling av personuppgifter som utförs inom ramen för idrottsrörelsen eftersom detta skul- le innebära att behandling av personuppgifter inte får utföras efter att medlemskapet upphört. Det är av stor vikt för idrottsrörelsen att kunna föra statis- tik över resultat och rekord. Denna personuppgifts- behandling är nödvändigt för att utföra en uppgift av allmänt intresse.

5.4. Myndighetsutövning

RF fördelar och kontrollerar statsbidrag till idrotts- verksamhet enligt lagen (1995:361) om överläm- nande av förvaltningsuppgifter till Sveriges Riksi- drottsförbund. Stöden kan övergripande fördelas inom områdena stimulansstöd, projektstöd, organi- sationsstöd och aktivitetsstöd. Inom samtliga områ- den kan behandling av personnummer förekomma utifrån hur föreskrifterna för stödet är utformat.

 För att personuppgiftsbehandling som ett led i myndighetsutövning ska kunna tillämpas som rätts- lig grund krävs att RF:s behandling av personuppgif- ter avseende fördelning av exempelvis statligt lokalt aktivitetsstöd (LOK-stöd) anses utgöra ett led i myn- dighetsutövning. Myndighetsutövning karaktärise- ras av beslut eller andra ensidiga åtgärder mot en- skilda som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. I förarbetena till lagen (1995:361) om överlämnande

1 Artikel 6.1 e dataskyddsförordningen samt SOU 2017:39 s. 126

2 Regeringens proposition En idrottspolitik för 2000-talet - folk- hälsa, folkrörelse och underhållning, 1998/99:107, s. 36.

3 Regeringens proposition En politik för det civila samhället, 2009/10:55, s. 24.

4 Regeringens proposition En politik för det civila samhället, 2009/10:55, s. 44.

5 Regeringens proposition Om ändrade regler för beskattning

av ideella föreningar med mera, 1976/77:135, s. 71.

6 Artikel 165.1 EUF-fördraget.

av förvaltningsuppgifter till Sveriges Riksidrottsför- bund framgår att regeringen gjort bedömningen att Riksidrottsförbundets verksamhet med att fördela statsbidrag till den organiserade idrottsrörelsen ut- gör myndighetsutövning.

 I riktlinjerna avseende statens bidrag till idrotten ska RF i en särskild rapport återrapportera en redo- visning till regeringen bland annat innehållande in- formation kring deltagare uppdelat på ålder och kön. Vidare ska informationen bland annat belysa effekter av arbetet för integration och jämställdhet.

Informationen ska därtill påvisa en utveckling över tid och därför ska det senaste årets redovisning jämföras med motsvarande information från de två föregående åren. För att uppfylla dessa krav på återredovisning är det avgörande för RF att kunna föra statistik över medlemmar.

5.5. Intresseavvägning

Tillämpning av intresseavvägning som rättslig grund är inte i stort en framkomlig väg för RF och Medlem- marna med beaktande av att utförandet av intres- seavvägningar vid behandling av personuppgifter är

alltför betungande för ideella föreningar att utföra med hänsyn till den arbetsbörda ett sådant arbete skulle medföra. Även om ett berättigat intresse en- ligt dataskyddsförordningens mening föreligger ska en intresseavvägning särskilt ta hänsyn till om den registrerades intressen eller grundläggande rättig- heter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Med ledning av Artikel 29-gruppens uttalande om att intresseavvägningen ska ta hänsyn till ett flertal faktorer, såsom det berättigade intresset, konsekvenserna av behandlingen för den registre- rade, personuppgifternas känslighet, typ av be- handling och vilka åtgärder som vidtagits för att skydda personuppgifterna samt att den registrera- des inställning och om denne motsatt sig behand- lingen ska tas i beaktande vid genomförandet av en intresseavvägning är det inte lämpligt för RF och Medlemmarna att stödja behandling av personupp- gifter på intresseavvägning som laglig grund. I vissa undantagsfall, såsom exempelvis marknadsföring från Medlemmar, kan emellertid behandling stödjas på intresseavvägning som laglig grund om ingen an- nan grund är tillämplig.

5.6. Samtycke

I undantagsfall kan samtycke behöva inhämtas för behandling av personuppgifter inom idrottsrörel- sen. Samtycke är emellertid i stort inte en lämplig rättslig grund för RF och Medlemmarna vid behand- ling av personuppgifter som utförs inom ramen för svensk allmännyttig idrottsverksamhet.

Att administrera samtyckesinhämtning, ändringar och eventuella återkallelser innebär vidare en myck- et stor arbetsbörda för Medlemmarna. I regel bör därför samtycke undvikas som laglig grund när det är möjligt att grunda behandlingen på en annan lag- lig grund.

 Observera att ett samtycke inte ska betraktas som frivilligt om det inte finns någon verklig eller fri valmöjlighet eller om den enskilde inte utan pro- blem kan vägra eller dra tillbaka samtycket. Om be- handling är nödvändig för att den registrerade ska kunna delta inom RF:s eller Medlems verksamhet, ska samtycke till nödvändig behandling anses vara frivilligt.

6. Typer av personuppgiftsbehandling inom idrottsrörelsen

RF bedriver bland annat administrativ förenings- och förbundsverksamhet, bidragsfördelning till idrottsverksamhet samt antidopingarbete. Med- lemmarna bedriver motsvarande administrativa verksamheter inom sina respektive idrottsområden alternativt regionala eller lokala områden. Det inne- fattar bland annat administration av tränings- och tävlingstillfällen, medlemsavgifter och aktivitetstill- fällen samt kommunikation med medlemmar. Flera av Medlemmarna samarbetar även med Polismyn- digheten för att motverka brott och ordningsstör- ningar i samband med idrottsevenemang samt för att motverka matchfixning. En sammanställning av respektive organisationsleds behandling av person- uppgifter framgår av Bilaga 1.

 Inom alla RF:s organisationsled är behovet av att behandla personuppgifter stort för att uppfylla verksamheternas ändamål. Ändamålen redovisas nedan i detta avsnitt.

6.1. Medlemskap

RF och Medlemmarna behandlar personuppgifter avseende registrerade medlemmar i syfte att admi- nistrera förenings- och förbundstillhörighet, med- lemskap, statistik och forskning, utbildningar, ut- märkelser med mera. Personuppgifter behandlas även till exempel för att för att kunna handlägga bestraffningsärenden och överklagande av beslut som inte avser bestraffningsärende enligt 14 och 15 kap. RF:s stadgar.

 De personuppgifter som behandlas inom ramen för medlemskap kan variera utifrån Medlemmarnas av- talsutformning men kan exempelvis bestå av namn, kontaktuppgifter, personnummer, uppgifter om med- lemskap samt konto- och betalningsinformation.

6.1.1. Laglig grund

Behandling av personuppgifter inom ramen för ad- ministration av medlemskap i Medlem kan stödjas på avtal med den registrerade som laglig grund. Be- handling av personuppgifter tillhörande medlem- mar i Medlem för statistik- och forskningsändamål kan stödjas på uppgift av allmänt intresse som laglig grund. Den behandling av personuppgifter tillhö- rande medlem i Medlem som utförs inom ramen för den aktuella Medlemmens fördelning av statliga bi- drag eller annars följer av uppdrag eller riktlinjer men inte kan anses utgöra myndighetsutövning, såsom bland annat återrapporteringskrav, kan stöd- jas på rättslig förpliktelse som laglig grund.mål. Än- damålen redovisas nedan i detta avsnitt.

6.2. Tävling

RF och Medlemmarna behandlar personuppgifter inom sin tävlingsverksamhet samt för administra- tionen av registrering av tävlande. Vid registrering av tävlande kan personuppgifter importeras/expor- teras från IdrottOnline. För sådan registrering be- handlas även personnummer.

 Anledningen till behandlingen av personnummer är att resultat ska kunna kopplas till en specifik täv- lande och kunna registreras. Vidare är det flera idrotter som har en försäkring kopplat till sin regist- rering varav unik identifiering med koppling till ett eventuellt försäkringsärende är nödvändig.

 Personuppgifter behandlas inom ramen för täv- ling vid uttagning, kallelse och inbjudan till tävling samt vid registrering. Utöver behandlingen av per- sonuppgifter vid registreringsprocessen behandlas personuppgifter vid varje tävlingstillfälle genom da- tainsamling under tävling såsom livescoring, överfö- ring och exponering i TV och digitala skärmar, samt behandling av personuppgifter efter tävling såsom resultatlistor, statistik, tabellhantering och sprid- ning av data till åskådare, media, deltagare m.fl.

Personuppgifterna behandlas då utifrån till exempel anmälan, resultatrapportering eller löpande ran- kingpoängsrapportering.

 De personuppgifter som behandlas inom ramen för tävlingar kan variera utifrån Medlemmarnas specifika verksamhet. De kategorier av personupp- gifter som i normalfallet behandlas inom ramen för tävlingar är främst namn, personnummer, kontakt- uppgifter, konto- och betalningsinformation, upp- gifter om medlemskap, kön.

6.2.1. Laglig grund

Behandling av personuppgifter inom ramen för idrottstävlingar kan stödjas på avtal samt uppgift av allmänt intresse som laglig grund.

6.3. Licenshantering

Vissa av Förbunden behandlar personuppgifter inom administration av tävlingslicenser. Utöver det- ta görs löpande statistikuppföljning inom ett för- bund på antal licenser eller per fördefinierade mä- tetal såsom till exempel antal licenser per ett visst åldersintervall eller kön.

 De personuppgifter som behandlas inom ramen för licenshantering kan variera utifrån Medlemmar- nas avtalsutformning och specifika verksamhet. I normalfallet behandlas namn, kontaktuppgifter,

personnummer, uppgifter om medlemskap, kön, funktionsnedsättning samt tävlingslicens inom ra- men för licenshantering.

6.3.1. Laglig grund

Behandling av personuppgifter inom ramen för li- censhantering får stödjas på avtal samt uppgift av allmänt intresse som laglig grund. För den be- handling av särskilda kategorier av personuppgif- ter som utförs inom ramen för utfärdande och administration av paralicenser utgör uppgift av viktigt allmänt intresse ett giltigt undantag från förbudet att behandla särskilda kategorier av per- sonuppgifter.

6.4. Fördelning av stöd

RF och Medlemmarna behandlar personuppgifter i syfte att fördela och kontrollera statsbidrag till idrottsverksamhet enligt lagen (1995:361) om över- lämnande av förvaltningsuppgifter till Sveriges Riks- idrottsförbund. RF behandlar personuppgifter och då även personnummer i samband med kontroll, inkomna ansökningar samt fördelning av de ekono- miska stöden till idrottsverksamhet. Stöden kan övergripande fördelas inom områdena stimulans- stöd, projektstöd, organisationsstöd och aktivitets- stöd. Inom samtliga områden kan behandling av personnummer förekomma utifrån hur föreskrif- terna för stödet är utformat.

 De personuppgifter som kan behandlas inom ra- men för fördelning av statligt stöd är namn, kon- taktuppgifter, personnummer eller annat identifika- tionsnummer samt medlemstillhörighet.

6.4.1. Laglig grund

Behandling av personuppgifter inom ramen för fördelning av statligt stöd får stödjas på rättslig förpliktelse som laglig grund. Behandlingen av per- sonnummer eller annat identifikationsnummer är klart motiverad med hänsyn till ändamålen med behandlingen, såsom att återrapportera fördel- ning av statligt stöd och föra statistik över sådant stöd.

6.5. Utbildning

Vissa av Medlemmarna behandlar personuppgif- ter inom ramen för sina utbildningsverksamheter, vilka utgör såväl föreningar, specialidrottsdi- striktsförbund, distriktsorganisationer samt av själva studieförbundsdelen och förlaget SISU Idrottsböcker.

 De personuppgifter som får behandlas inom ra- men för utbildning är namn, personnummer, kön, kontaktuppgifter, konto- och betalningsinformation samt medlemskoppling.

6.5.1. Laglig grund

Behandling av personuppgifter om deltagare i folk- bildningsverksamheten som utförs av SISU Idrotts- utbildarna och som är nödvändig för fördelning och redovisning av statsbidrag till folkbildning kan utfö- ras med stöd av uppgift av allmänt intresse. Övrig utbildningsverksamhet kan stödjas på avtal med den registrerade eller samtycke som lagliga grunder.

6.6. Bestraffningsärenden enligt RF:s stadgar

Enligt RF:s stadgar kan en medlem i någon av Med- lemmarna bestraffas om denne bryter mot stad- garna eller andra idrottens regelverk. Även andra juridiska ärenden och tvister kan omfattas av RF:s stadgar och regleras även dessa av detta avsnitt. För sådana ärenden kan behandling av personuppgifter vara nödvändig. Så kan vara fallet om medlemmen underlåtit att inom förelagd tid betala stadgad av- gift, anmält sig till tävling och utan giltiga skäl utebli- vit, deltagit i tävling under avstängning, uppträtt förolämpande mot deltagare, funktionär, gjort sig skyldig till skadegörelse eller utövat våld, eller den som genom osanna uppgifter eller på annat sätt vil- selett eller försökt vilseleda, eller utövat otillbörlig påverkan mot enskild eller organisation för dennes idrottsliga verksamhet.

 De personuppgifter som får behandlas inom ra- men för bestraffningsärenden är namn, kontaktupp- gifter, medlemsnummer, personnummer, informa- tion om anledningen till den aktuella bestraffningen samt uppgifter om medlemskap.

6.6.1. Laglig grund

Behandling av personuppgifter tillhörande medlem- mar inom ramen för bestraffningsärenden och an- dra ärenden enligt RF:s stadgar kan stödjas på avtal med den registrerade som laglig grund.

6.7. Matchfixing

RF och vissa Medlemmar arbetar tillsammans med Polismyndigheten och andra berörda myndigheter och aktörer för att motverka spridningen av match- fixing i Sverige.

 Ändamålet för att behandla personuppgifter i samband med anti-matchfixingarbetet är att reda ut om personer inom svensk idrott har överträtt idrot- tens regelverk och/eller allmän lag. Det övergripan- de syftet är att motverka och förebygga match fixing.

Flödet av personuppgifter går mellan Medlemmar till/från internationella förbund inklusive tredje- landsöverföring, nationella och internationella spel- bolag och deras spelmyndigheter, rättsvårdande myndigheter samt RF.

 De personuppgifter som får behandlas inom ra- men för att utreda misstänkt matchfixning är namn, kontaktuppgifter, föreningstillhörighet samt per- sonnummer.

6.7.1. Laglig grund

Behandling av personuppgifter inom ramen för RF och Medlemmars anti-matchfixingarbete kan stöd- jas på uppgift av allmänt intresse som laglig grund.

6.8. Antidoping

RF och Medlemmarna behandlar personuppgifter inom ramen för sitt arbete mot doping. Sverige har undertecknat och ratificerat såväl Europarådets konvention mot doping som UNESCO:s konvention mot doping inom sport. Sverige har därmed åtagit sig att stödja och underlätta för svenska idrottsför- eningar att leva upp till kraven och reglerna i världs- antidopingkoden.

 RF:s Antidopingavdelning (”ADA”) är en operativ enhet som leds och koordineras av den oberoende Dopingkommissionen. För att ADA ska kunna bedri- va ett effektivt antidopingarbete i enlighet med det globala regelverket World Anti-Doping Code (WADC) och dess tillhörande obligatoriska standar- der, som har upprättats av den oberoende antido- pingbyrån World Anti-Doping Agency, krävs viss behandling av personuppgifter. Behandlingen av personuppgifter omfattar inom vissa områden även personuppgifter om hälsa som enligt dataskydds- förordningen definieras som särskilda kategorier av personuppgifter.

 För att uppfylla WADC behöver RF behandla per- sonuppgifter för följande ändamål: (1) handläggning av dispens av medicinska skäl för dopingklassade läkemedel, (2) vistelserapportering för ca 250 idrottsutövare för att kunna genomföra oanmälda dopingkontroller, (3) dopingkontroller med urin- och blodprov, (4) resultathantering av dopingkon- trollerna och eventuell efterföljande utredning, (5) underrättelse och utredning för att upptäcka och utreda misstänkt doping.

 De personuppgifter som får behandlas inom ra- men för anti-dopingarbete är namn, kontaktuppgif- ter, personnummer eller födelsedatum, vistelsein- formation upp till 1år fram i tiden, tävlingsresultat, samröre med stödpersonal och träningssällskap, tränare, medicinska rådgivare och lagledare, be-

straffning och sanktioner för förseelser mot WADC samt hälsouppgifter såsom värden från analys av blod och urin, intag av läkemedel och kosttillskott, sjukdomshistorik och läkarutlåtanden kring dessa, förskrivna läkemedelsrecept, värden och uppgifter om medlemskap i förening och förbund.

6.8.1. Laglig grund

Behandling av personuppgifter inom ramen för RF och Medlemmarnas anti-doping arbete kan stödjas på uppgift av allmänt intresse samt rättslig förplik- telse som lagliga grunder. För den behandling av sär- skilda kategorier av personuppgifter som utförs inom ramen för anti-dopingarbetet utgör uppgift av viktigt allmänt intresse ett giltigt undantag från för- budet att behandla särskilda kategorier av person- uppgifter.

6.9. Ordningsstörningar

RF och vissa Medlemmar arbetar tillsammans med Polismyndigheten och andra myndigheter och aktö- rer i Sverige för att motverka alla former av brott och ordningsstörningar i samband med idrottseve- nemang. Arbetet genomförs exempelvis genom att identifiera och avvisa personer som har tillträdes- förbud eller arrangörsavstängning, utbilda och stödja idrottsföreningar som riskerar att utsättas för hot, våld och trakasserier. För att kunna yttra sig i ärenden om, samt verkställa tillträdesförbud och arrangörsavstängning hanterar vissa Medlemmar uppgifter om personer som anmälts för respektive meddelats tillträdesförbud. Endast Medlemmar som på förhand samrått med Datainspektionen har tillgång till register över tillträdesförbud i enlighet med förordning (2015:54) om register över tillträ- desförbud vid idrottsarrangemang, 6§.

 De personuppgifter som får behandlas inom ra- men för motverkande av ordningsstörningar är namn, lagtillhörighet, personnummer och bild.

6.9.1. Laglig grund

Behandlingen av personuppgifter inom ramen för motverkande av ordningsstörningar kan stödjas på rättslig förpliktelse som laglig grund då arrangörsav- stängning är ett nödvändigt verktyg för att arrangö- rer ska kunna fullgöra sitt åtagande om god ordning enligt ordningslagen (1993:1617) samt i enlighet med lag (2015:51) om register över tillträdesförbud vid idrottsarrangemang.

7. Överföring av personuppgifter

7.1. Överföring av

personuppgifter till andra organisationer

Det finns situationer när RF och Medlemmarna be- höver dela personuppgifter med andra organisatio- ner, så som vid tävlingar och evenemang. Vid varje överföring krävs det att RF och Medlemmarna sä- kerställer att överföringen är laglig och att indivi- dens rättigheter respekteras.

 Om en sådan tredje part behandlar personupp- gifter för RF:s eller Medlems räkning anses denna part utgöra Personuppgiftsbiträde till RF eller Med- lemmen. RF eller Medlemmen är skyldig att säker- ställa att personuppgiftsbiträdesavtal som uppfyller kraven i dataskyddsförordningen ingås med samtli- ga Personuppgiftsbiträden.

 Överföringar från externa system till och från IdrottOnline sker också inom ramen för överföring till andra organisationer. Även vid sådan överföring krävs att RF och Medlemmarna säkerställer att

överföringen är laglig och att individens rättigheter respekteras samt att biträdesavtal träffas med eventuell annan organisation som behandlar per- sonuppgifter för RF eller Medlems räkning.

7.2. Tredjelandsöverföringar

RF och Medlemmarna får endast överföra person- uppgifter utanför EES-området om det finns en lag- lig grund för överföringen.

 Personuppgifter kan till exempel överföras utanför EES-området som en del av dopingssamarbetet på internationell nivå, för att arrangera och delta i täv- lingar och evenemang, transfers samt för scouting.

 Inom ramen för antidopingsamarbetet måste personuppgifter regelbundet överföras till World Anti-Doping Agency (WADA) med säte i Montreal, Kanada. Oregelbunden överföring av personuppgif- ter utanför EES kan ske gentemot andra nationella och internationell förbundsanslutna antidopingor- ganisationer.

8. Enskildas rättigheter

8.1. Allmänt

Att uppfylla enskilda individers rättigheter är en vik- tig del av RF:s dataskyddsarbete. Det ska därför inom Medlemmarna finnas tydliga policyer och rikt- linjer på plats för att i varje enskilt fall kunna tillva- rata enskildas rättigheter i enlighet med data- skyddsförordningen.

8.2. Rätt till information

Den registrerade har rätt till information om att dennes personuppgifter behandlas. Det gäller både om uppgifterna samlas in från den registrerade själv och om uppgifterna samlas in från någon annan källa än den registrerade. RF och Medlemmarna ska informera den registrerade om personuppgiftsbe- handlingen i enlighet med dataskyddsförordningen inom en rimlig period efter det att personuppgif- terna erhållits, dock senast inom en månad. Om

personuppgifterna ska användas för kommunikation med den registrerade ska informationen lämnas se- nast vid tidpunkten för den första kommunikatio- nen med den registrerade. Om personuppgifterna ska lämnas ut till någon annan ska informationen lämnas ut senast när personuppgifterna lämnas ut för första gången förutsatt att det saknas bestäm- melser om registreringen eller utlämnandet i lag el- ler någon annan författning, den registrerade inte redan erhållit information enligt annan lagstiftning eller lämnandet av informationen är omöjligt eller innebär en oproportionerligt stor arbetsinsats.

8.3. Registerutdrag

I egenskap av personuppgiftsansvarig har RF och varje Medlem en skyldighet att lämna ett s.k. regis- terutdrag som omfattar samtliga personuppgifter om den registrerade som behandlas i respektive sys- tem eller register. Förbund ansvarar för att till Fören-

ing på begäran lämna ut information från system som Förbund levererar eller utgör samordnare för.

 Den registrerade har rätt att från RF eller Med- lemmen få bekräftelse på huruvida personuppgifter som rör vederbörande behandlas, och i sådana fall få tillgång till personuppgifterna och den informa- tion som framgår av Bilaga 2.

 RF eller Medlemmen ska även förse den registre- rade med en kopia av de personuppgifter som be- handlas.

 Om begäran görs i elektronisk form ska informa- tionen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

 Ett formulär för registerutdrag som uppfyller kra- ven i dataskyddsförordningen tas fram av RF för an- vändning av Medlemmarna.

8.4. Rätt till rättelse och radering

Alla personuppgifter som ska behandlas ska vara sakligt riktiga och de ska också, om det är nödvän- digt, vara aktuella, dvs. tillräckligt aktuella i förhål- lande till ändamålet. RF och Medlemmarna ska tillse att de personuppgifter som behandlas är riktiga och om nödvändigt uppdaterade. Personuppgifter som är felaktiga, ofullständiga eller irrelevanta ska rättas eller raderas.

 Om en registrerad upplyser RF eller Medlem om att en uppgift som rör denne är felaktig ska uppgif- ten rättas.

8.5. Rätt till begränsning av behandling

RF och Medlemmarna ska se till att den registrera- des rätt till begränsning efterlevs. En sådan rätt fö- religger när den registrerade anser att uppgifterna är felaktiga och har begärt rättelse under tiden upp- gifternas korrekthet utreds.

8.6. Dataportabilitet

RF och Medlemmarna ska uppfylla den registrera- des rätt till dataportabilitet om behandlingen av personuppgifter stödjs på samtycke eller avtal med den registrerade som laglig grund och den registre- rade själv har lämnat personuppgifterna till RF eller Medlemmen.

8.7. Rätt att göra invändningar

RF och Medlemmarna ska tillgodose den registrera- des rätt att invända mot behandling av dennes per- sonuppgifter om den aktuella behandlingen stödjs på uppgift av allmänt intresse, myndighetsutövning eller intresseavvägning som laglig grund.

 Om den registrerade invänder mot sådan be- handling får RF eller Medlem fortsätta att behandla personuppgifterna endast om RF eller Medlemmen kan visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utö- vande eller försvar av rättsliga anspråk.

8.8. Rätt att inte bli föremål för automatiserat

beslutsfattande

RF och Medlemmarna ska inte grunda ett beslut rö- rande en registrerad enbart på någon form av auto- matiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den registre- rade eller på liknande sätt i betydande grad påver- kar denne. Detta gäller dock inte om automatiserat beslutsfattande är nödvändigt för ingående eller fullgörande av ett avtal med den registrerade eller den registrerade har gett sitt uttryckliga samtycke.

9. Särskilda frågor

9.1. Personuppgifter i ostrukturerat material

I och med att dataskyddsförordningen träder ikraft utgår även den s.k. missbruksregeln, som tidigare inneburit ett undantag av flera av reglerna på per- sonuppgiftsområdet för personuppgifter som be- handlas i ostrukturerat material, så som e-post och ordbehandlings- och kalkylprogram.

 Varje Medlem ansvarar för att genomföra interna projekt för att säkerställa att den behandling som tidigare fallit under missbruksregeln utförs i enlig- het med de krav som följer av dataskyddsförord- ningen. Instruktion att följa för att tillse att behand- ling av personuppgifter i ostrukturerat material lever upp till förordningens krav har tagits fram av RF att användas av Medlemmarna.

9.2. Barns personuppgifter

Inom idrottsrörelsen ingås avtal om medlemskap för barn under 18 år av vårdnadshavare för att sä- kerställa skydd för barns personuppgifter. Person- uppgifter tillhörande barn ska vidare behandlas med särskild försiktighet och får endast i undan- tagsfall behandlas med stöd av intresseavvägning.

Personuppgifter tillhörande barn ska därför särskilt skyddas mot exempelvis otillbörlig åtkomst.

9.3. Behandling av särskilda kategorier av uppgifter

Behandling av särskilda kategorier av personuppgif- ter är förbjuden om inte något av de uppställda un- dantagen i dataskyddsförordningen är uppfyllda.

Särskilda kategorier av personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller politisk övertygelse, medlem- skap i fackförening samt personuppgifter som rör

hälsa eller sexualliv. RF och dess Medlemmar be- handlar inom vissa delar av sin verksamhet särskilda personuppgifter om exempelvis hälsa.

 För personer med funktionsnedsättning som täv- lar behandlas uppgifter om funktionsnedsättning för att utfärda paratävlingslicens. För anti-dopingar- bete behandlas uppgifter om hälsa för att uppfylla kraven enligt anti-dopinglagstiftning.

 Behandling av känsliga personuppgifter ska som huvudregel ske med stöd av samtycke från den re- gistrerade. Känsliga personuppgifter ska behandlas med särskild försiktighet och bara den hos RF eller dess Medlemmar som för utförandet av sina arbets- uppgifter behöver ges åtkomst till känsliga person- uppgifter ska ges sådan åtkomst. Om ett giltigt sam- tycke inte kan inhämtas får annat giltigt undantag från förbudet användas.

9.4. Personnummer och samordningsnummer

Personnummer och samordningsnummer får be- handlas inom ramen för idrottsrörelsen när sådan behandling är nödvändig på grund av vikten av en säker identifiering eller klart motiverad med hänsyn till ändamålen. Det är av stor vikt att personnum- mer används för identifikation av registrerade för att uppfylla statliga och kommunala krav inom ra- men för bidragsfördelning. Behandling av person- nummer och samordningsnummer är även nödvän- dig för att uppfylla kraven på att samtliga kommuner ska kunna säkerställa vart registrerade inom idrotts- rörelsen är folkbokförda.

 Av denna anledning får personnummer insamlas och behandlas exempelvis för att undvika dubbelre- gistrering av personer, i tävlingssammanhang, vid överföring till IdrottOnline för registrering i under- lag för bidragsansökningar, vid anti-dopingarbete, bestraffningsärenden, tillträdesförbud samt vid ad- ministration av tävlingslicenser.

10. Ansvar och sanktioner

10.1 Ansvar

RF och respektive Medlem har ansvaret för att reg- lerna och riktlinjerna i denna uppförandekod följs.

10.2 Sanktioner

Datainspektionen har möjlighet att för vissa över- trädelser besluta om administrativa sanktionsavgif- ter på upp till tjugo miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket värde som är högst, vid överträdelser av dataskyddsför- ordningen. För andra typer av överträdelser, såsom överträdelser av regler om inbyggt dataskydd, för- teckningar och konsekvensbeskrivningar, finns ett maxbelopp på det högsta av tio miljoner euro eller 2

% av den globala årsomsättningen.

 Enligt dataskyddsförordningen har även varje

person som har lidit skada till följd av en överträ- delse av förordningen rätt till ersättning från den personuppgiftsansvarige. Även personuppgiftsbi- träden kan bli skadeståndsskyldiga under vissa för- utsättningar.

 Vid misstanke om överträdelse av denna kod ska berört SF eller, om misstanken rör SF, RF initiera en utredning om överträdelsen.

 Om utredning såvitt avser förening visar att över- trädelse skett, och rättelse inte sker trots påpekan- de, eller om överträdelsen är av allvarlig art, ska föreningen anmälas till bestraffning enligt 14 kap.

RF:s stadgar.

 Om SF överträtt denna kod ska RF uppmana SF att vidta behövliga åtgärder. RF får därvid, med stöd av tillämpliga regler, besluta om indrag av ekonomiskt stöd eller, i mycket allvarliga fall och om rättelse inte sker trots upprepade påpekanden, överväga ute- slutning enligt 10 kap. 3 § RF:s stadgar.

© Riksidrottsförbundet | Foto: Bildbyrån | Grafisk form: Det | M

Box 11016, 100 61 Stockholm | Tel: 08 - 699 60 00 E-post: riksidrottsforbundet@rf.se | Hemsida: www.rf.se