Voluntarius - Ideella Strategier

Föreningskunskap
Blogg

Datoriserat medlemsregister

 

Föreningar måste ha ett bra och lättskött medlemsregister. Idag ligger registret på dator. Därmed omfattas det av personuppgiftslagen (PuL) som Datainspektionen ansvarar för. Vad gäller för de ideella föreningarna? Vilket ansvar har styrelsen? Det ska vi svara på här.

 

Medlemsregister på dator - styrelsens ansvar

En av förutsättningarna för att driva en förening är att man har ett register över medlemmarna. För att inte förorsaka onödiga problem för föreningen och för dess medlemmar är det viktigt att detta sköts på ett bra sätt. Idag sker detta med dator och ett bra medlemsregisterprogram.

En av de aspekter som föreningsstyrelsen, som är ansvarig för medlemsregistret, då måste beakta är personuppgiftslagen (se här intill). Den är naturligtvis inte direkt skriven med föreningar som utgångspunkt och den och den ansvariga myndigheten, Datainspektionen, kan därför känns en aning fyrkantiga. Men de regler som finns måste ändå beaktas.

 


 

Personuppgiftslagen

I personuppgiftslagen (PuL) finns regler för hur personuppgifter i ett register får behandlas. 

Enligt Datainspektionen (som är tillsynsmyndighet) har PuL ”till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Begreppet "behandlas" är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera.”

Underförstått är förstås att det sker med hjälp av dator. Om uppgifterna lagras i en databas eller ett register anses de vara strukturerade. Om de finns i löpande text eller epost är de ostrukturerade. För de förra finns fler regler än för de senare.

På Datainspektionens hemsida finns mer information om personuppgiftslagen. Där svarar Datainspektionen också på frågor från till exempel föreningar.


Föreningar behöver inte anmäla behandling av personuppgifter

 

Normalt ska en organisation som har datoriserat personregister anmäla detta till Datainspektionen.  Till de undantagen hör dock föreningars medlemsregister (5 § personuppgiftsförordningen). 

I vissa fall kan en anmälan också ersättas av en förteckning som organisationen själv upprättar. Det gäller om det finns en anknytning mellan den registrerade och organisationen genom till exempel medlemskap.

Källa: Datainspektionen


Regler för en förenings medlemsregister

En förening får upprätta ett medlemsregister på data och där registrera uppgifter om namn, adress, telefonnummer, förtroendeposter och andra liknande uppgifter som behövs för föreningens administration. 

Enligt Datainspektionen måste föreningen informera medlemmarna om vilka uppgifter om dem som föreningen registrerar och hur de kommer att användas.

Det är föreningens styrelse som ansvarar för att medlemsuppgifterna hanteras på ett sätt som överensstämmer med personuppgiftslagen.

I de flesta fall är det tillräckligt att ha en förteckning över de medlemsuppgifter som behandlas. Den ersätter då den anmälan till Datainspektionen som föreningen annars kan behöva göra.

Behandling av känsliga frågor

Registret får innehålla personnummer, men Datainspektionen anser att det är olämpligt att använda sådana som medlemsnummer.

Organisationer med politiska, filosofiska, religiösa eller fackliga syften får behandla känsliga personuppgifter om organisationens medlemmar, men dessa får inte lämnas ut till utomstående utan berörda medlemmars uttryckliga samtycke.

Registret får givetvis användas för den egna föreningans utskick, men inte för annan direktreklam utan att medlemmarna fått information om detta i förväg.

Källa: Datainspektionen


Får man skicka ut medlemsregistret till medlemmar via e-post?

 

Enligt Datainspektionen krävs för detta att medlemmarna fått information om och samtyckt till detta. Men det bör undvikas, säger Datainspektionen, eftersom det inte är säkert att en medlem vill att hans eller hennes uppgifter sprids till övriga medlemmar via e-post. Det kan exempelvis finnas medlemmar som har skyddad adress eller hemligt telefonnummer. Styrelsen måste också tänka på säkerhetsaspekterna. Lagen kräver att den som är ansvarig för registret (styrelsen!) ska vidta åtgärder för att skydda de personuppgifter som behandlas. 

 

Källa: Datainspektionen


Är en förening skyldig att lämna ut sitt medlemsregister?

 

Om en medlem begär att få medlemsregistret, är föreningen då skyldig att lämna ut det? Så här svarar Datainspektionen:

”Nej, till skillnad från offentliga myndigheter som måste tillämpa offentlighetsprincipen har inte privata företag, föreningar eller stiftelser någon skyldighet att lämna ut sitt medlemsregister. Däremot har den registrerade rätt enligt personuppgiftslagen att få ett registerutdrag över vilka uppgifter som finns registrerade om sig själv.”

Källa: Datainspektionen


Hur länge får man ha f.d. medlemmar i sitt register?

På frågan hur länge man får behålla tidigare medlemmar i sitt medlemsregister svarar Datainspektionen att ”personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen” (PuL 9 § i).

 

Datainspektionen skriver sedan:

 

”Generellt sett bör personuppgifter om medlemmar i en förening avidentifieras eller förstöras när den registrerade upphör att vara medlem i föreningen eller senast då den personuppgiftsansvarige och den registrerade har reglerat samtliga sina mellanhavanden, exempelvis tills utestående medlemsavgift har betalats eller lånad utrustning återlämnats.”

 

Detta visare att myndigheten inte har en klar bild av hur föreningar normalt arbetar. Det är ju ingen kommersiell relation. De flesta föreningar har medlemmar som återkommer efter ett uppehåll på kanske ett år med medlemsavgiften. Det gör de efter en särskild påminnelse. Många av dessa har betraktat sig som medlemmar hela tiden.

 

Datainspektionen betraktar emellertid påminnelser året efter (och två år efter) att medlem senast betalade sin avgift som marknadsföring, inte som normal föreningsaktivitet för vilken föreningsregistret är till. Då ska andra regler gälla enligt myndigheten:

 

”Om föreningen vill använda personuppgifter om f.d. medlemmar för att återvärva dessa till föreningen behandlas uppgifterna för ett marknadsföringsändamål. Eftersom den registrerade inte längre är medlem i föreningen saknas anknytning mellan den registrerade och den personuppgiftsansvarige. Enligt den branschöverenskommelse som finns på marknadsföringsområdet ska personuppgifter om personer som saknar anknytning till den personuppgiftsansvarige förstöras snarast efter det att de använts för de avsedda direktmarknadsföringsändamålen. ... Datainspektionen anser sammanfattningsvis att en förening får behandla uppgifter om sina egna f.d. medlemmar för återvärvningskampanjer i tre månader från det att medlemmen uteslutits ur föreningen. Därefter bör uppgifterna gallras.”

Kommentar av Christer Leopold:

"Den här tolkningen är problematisk. Jag har svårt att tro att Datainspektionen skulle tolka personuppgiftslagen (PuL) 9 § så snävt som den gjort här ifall den haft en klar insikt om hur föreningar fungerar. Men om Datainspektionen faktiskt har rätt så är det ytterligare ett exempel på hur lagar och myndigheter försvårar för föreningslivet i strid mot grundlagens intentioner."


 

 

 

Återvänd till startsidan                          

    

 

Voluntarius - Ideella Strategier.  E-post: Klicka för mail till Voluntarius om annat än föreningsfrågor  

 

©2017 Voluntarius - Ideella Strategier. Alla rättigheter reserverade.