GDPR
Policy för personuppgifter
Du ska kunna känna dig trygg med hanteringen av dina personuppgifter i golfen. Därför har vi tagit fram en personuppgiftspolicy som förklarar hur vi använder den information vi har om dig, samt vilka regelverk och bestämmelser som gäller kring personuppgifter i Golfsverige.
Från den 25 maj 2018 gäller den nya dataskyddsförordningen, även kallad GDPR. Här redogör vi för hur personuppgifter behandlas i golfverksamheten och hur förbund, klubbar och bolag arbetar för att uppfylla både lagen och golfsportens och idrottens egna bestämmelser.
I all sin enkelhet handlar det om att dels värna om individens (golfspelarnas, ledarnas och de anställdas) personuppgifter, dels vårda medlemsregistret som är klubbens viktigaste tillgång och som hanteras i Golfsveriges gemensamma IT-system (GIT).
Tre styrande regelverk
Det finns tre regelverk som styr databehandling av personuppgifter i Golfsverige. Dessa regler gäller för alla fysiska personer (golfspelare, ledare och anställda inom golfen) samt alla juridiska personer (alla golforganisationer inklusive Svenska Golfförbundet, golfdistriktsförbund, golfklubbar, golfbolag, driftsbolag, övriga bolag som driver golfverksamhet (t ex banägare, bolag och personer som driver träningsverksamhet, golfshop eller golfrestaurang), intresseorganisationer samt leverantörer av produkter och tjänster som har en koppling till GIT.)
Regelverken är:
Dataskyddsförordningen (GDPR) – gäller som lag i alla EU:s medlemsländer från och med 25 maj 2018. Gäller för all personuppgiftshantering i EU, digitalt eller utan IT-stöd. Ersätter den svenska personuppgiftslagen (PUL).
Idrottens Uppförandekod – övergripande regler för behandlingen av personuppgifter i svensk idrott, framtagna av Riksidrottsförbundet. Gäller för all personuppgiftsbehandling i idrottsverksamheten, digitalt eller utan IT-stöd.
GIT-bestämmelserna – detaljerade regler för hur personuppgifterna ska behandlas i golfverksamheten. Gäller för alla databehandlingar som leder till att en personuppgift läses eller skrives till den centrala GIT-databasen.
Regelverk och stadgar är bindande
När du blir medlem i en golfklubb eller köper en spelrätt/årsabonnemang i golfbolag sluter du ett avtal med golfklubben eller golfbolaget. Golfklubben organiseras genom stadgar, vilket är det avtal du accepterar och ingår genom att bli medlem. I stadgarna regleras bland annat medlemmarnas rättigheter (t ex rösträtt på årsmötet) och skyldigheter (t ex att betala årsavgiften). I stadgarna ingår också att du måste följa de beslut som fattas av klubbens organ samt följa Svenska Golfförbundets, Riksidrottsförbundets och Golfdistriktsförbundets stadgar, bestämmelser och beslut.
I Golfsverige finns också ett antal golfbolag som är anslutna till Svenska Golfförbundet genom ett associationsavtal. De har inga stadgar, men har genom avtalet med SGF accepterat att följa samma bestämmelser, regler och beslut som golfklubbarna. Du som är ansluten till ett golfbolag är därmed bunden av regelverken på motsvarande sätt som medlemmar i en golfklubb.
Enkelt uttryckt kan man säga att alla som har ett Golf-ID är bundna av idrottens och golfens regelverk och bestämmelser. Utöver Idrottens Uppförandekod och GIT-bestämmelserna är det här några andra exempel på regler och bestämmelser du som golfspelare måste respektera och följa:
– Golfreglerna
– Handicapreglerna
– Spel- och tävlingshandboken
– Säker golf
– Reglemente om anti-matchfixning
– WADA Antidopingkod
Databehandlingar i golfen
I den svenska golfverksamheten görs dagligen en mycket stor mängd databehandlingar. Personuppgifter inom golfen behandlas främst inom Golfens IT-system men det finns undantag. Golfsverige har traditionellt varit noga med att Golfens IT-system ska följa rådande lagstiftning. Vissa förändringar var nödvändiga i övergången från PUL till dataskyddsförordningen och vid förbundsmötet den 22 april 2018 fastställde golfklubbarna nya bestämmelser för GIT. Nedan är en sammanfattning av databehandlingar som görs i golfen, inom och utanför GIT.
Databehandlingar i Golfens IT-system
Varje förening eller bolag som bedriver verksamhet på en golfanläggning använder det gemensamma IT-systemet Golfens IT-system (GIT). Alla person- och golfuppgifter – exempelvis bostadsadresser, födelsedatum, handicap, tävlingsresultat och bokade golftider – lagras i en central databas som förvaltas av Svenska Golfförbundet på uppdrag av golfklubbarna.
Du som golfspelare använder dig också av GIT när du i webbtjänsten Min Golf bokar en golftid eller registrerar ett handicapgrundande resultat.
Databehandlingar utanför Golfens IT-system
Alla personuppgiftsbehandlingar görs dock inte i GIT. I verksamheten används också kassa- och ekonomisystem utan koppling till GIT, e-postprogram, sociala medier, hemsideslösningar, löne- och personalsystem, register som skapas i Office-program, manuella men strukturerade och sökbara pärmar, arkivsamlingar och register som innehåller personuppgifter.
På många anläggningar används också fortfarande den klassiska greenfeeboken med många uppgifter om gästspelare, vilket vi avråder klubbar från i och med GDPR.
Personuppgifter som registreras i GIT
I Golfens IT-system lagras ett antal basuppgifter om dig som golfspelare, som namn, adress, personnummer med mera. Dessutom tillkommer uppgifter som har att göra med ditt golfspel som dina bokningar, tävlingar, handicap med mera.
Uppgifter som du lämnar till golforganisationen relaterat till medlemskapet
– Namn
– Personnummer
– Födelsedatum
– Kön
– Bostadsadress och faktureringsadress
– Telefon (flera alternativ)
– E-postadress
Skapas i GIT relaterat till medlemskapet
– Golf-ID baserat på födelsedatum
– Avgifter och spelrätt, ev aktie
– Spelrättskategorier (fulltid, vardag etc)
– Faktureringsuppgifter (bl.a. betalningar)
– Innehav av skåp
– Ev innehav av MoreGolf Mastercard betal- och kreditkort
– Ev avstängningar (idrottsbestraffningar)
– Roller och uppdrag, ledare och funktionär
– Ev introduktionskort
– Tidigare medlemskap med orsak till utträde
– Inträdesår aktuell golforganisation
Bokning och spel
– Bana, tid, medspelare, vem som bokat
– Betaluppgifter (greenfee)
– Ankomstmarkering
– Ev bokning/hyra av artiklar (tex golfbil)
Tävling
– Anmälan med Golf-ID
– Status och kategori, tex pro, amatör mm
– Starttider och startlistor
– Resultat på detaljnivå = scorekortet
– Resultat- och prislistor
– Ev prispengar och rankingpoäng
Handicap
– Alla handicappåverkande ronder med uppgifter om tid, plats, markör och resultat
– Revisioner och ändringar
– Aktuell spelhandicap
Andra aktiviteter, tex utbildningar
– Anmälan med Golf-ID och/eller personnummer (av bidragsskäl)
Vi har tillgång till dina uppgifter
Hagge golfklubb, har tillgång till alla basuppgifter och handicapuppgifter i Golfens IT-system. Klubben kan däremot inte se golftider eller golftävlingar som du bokat eller spelat på andra golfanläggningar. Omvänt kan inte den golforganisation du ska gästspela på se dina basuppgifter, utan har endast tillgång till de personuppgifter som verkligen behövs för att boka en tid (t ex klubbtillhörighet, junior/senior och handicap) eller för att administrera en golftävling (t ex handicap).
Alla uppgifter hämtas direkt från GIT-databasen baserat på ditt Golf-ID. I varje golforganisation finns ett antal personer som har tillgång till GIT och som därigenom kan se, läsa, spara och ändra uppgifterna.
Tillåtna personuppgiftsbehandlingar
Alla tillåtna databehandlingar är angivna under avsnitt 5 i GIT-bestämmelserna. I korthet handlar det om olika slags administrativa behandlingar. Med det menas att mata in uppgifter i GIT, söka, filtrera och läsa dessa uppgifter samt skriva ut uppgifterna i pappersrapporter eller i datafiler som ska bearbetas i t ex Excel eller Word.
Fakturering och reskontra görs i ekonomisystem, t ex Fortnox, som är kopplade till GIT och som både kan importera (läsa) och exportera (skriva) data till och från GIT (via så kallad GIT API). Försäljning av greenfee, artiklar och produkter görs i kassasystem som kan ha en motsvarande koppling till GIT.
Gästenkäter och medlemsundersökningar görs ofta av externa företag vars IT-verktyg importerar nödvändiga datauppgifter från GIT. Enkätsvaren lagras i leverantörernas databaser. Leverantörerna måste självfallet följa GDPR och GIT-bestämmelserna.
Exempel på tillåtna databehandlingar – medlemsklubb
För en fullständig förteckning, se avsnitt 5.3 i GIT-bestämmelserna
5.3a) Medlemsregister
Ta fram adresslistor över alla juniorer och bjuda in juniorerna till klubbens junioraktiviteter
5.3b) Ekonomihantering
Fakturera årsavgifterna
5.3c) Handicap
Granska registrerade resultat, revidera din handicap
5.3d) Boka golftider
boka, avboka, boka om, checka in och skriva ut aktuella startlistor samt visa startlistan på TV-skärmar* i klubbhuset.
5.3k–l) Kommunikation
Medlemsklubben får alltid kommunicera med sina medlemmar på valfritt sätt, tex skicka nyhetsbrev (brev eller e-post), automatiska bekräftelser från GIT eller en klubbtidning.
* Du kan NIX:a dig från exponering i startlistor som visas på TV-skärmar.
Exempel på tillåtna databehandlingar – gästklubb
För en fullständig förteckning, se avsnitt 5.4 i GIT-bestämmelserna.
5.4a) Boka golftider
Administrera bokning av golftider, exponera bokningsläget på skärmar och i fristående terminaler på golfanläggningen.
5.4d) Kommunikation
Gästklubben får skicka* bokningsbekräftelser från GIT.
5.4e) Kommunikation
Gästklubben får kommunicera* med sina gästspelare (greenfee) genom att via GIT skicka e-post med information om golfanläggningen (tex banans skick eller dagens luncherbjudande) inför spelet samt följa upp besöket med en gästenkät.
* Du kan NIX:a dig från utskick från andra klubbar än medlemsklubben och även sätta stopp för bokningsbekräftelser och andra liknande e-brev från GIT.
Exempel på tillåtna databehandlingar – Svenska Golfförbundet
För en fullständig förteckning, se avsnitt 5.5 i GIT-bestämmelserna.
5.5c) Utbildningar och kurser
Informera och bjuda* in olika målgrupper, t ex alla som har ledarrollen golfdomare till en utbildning.
5.5g) Tidningen Svensk Golf
Ta fram aktuella adresslistor (en person per hushåll/golffamilj) för att distribuera Svensk Golf.
5.5i) Kommunikation
Skicka* brev/e-post direkt till dig med information om tex nya handicapregler, erbjudanden från centrala partnerföretag och idrottsliga framgångar och tävlingsarrangemang.
5.5j) Forskning och undersökningar
Skicka* brev/e-post till dig med enkäter från undersökningar som Svenska Golfförbundet genomför i samarbete med forskare eller undersökningsföretag.
* Du kan NIX:a dig från utskick från SGF.
Exempel på databehandlingar som inte är tillåtna
För en fullständig förteckning, se avsnitt 6 i GIT-bestämmelserna
6.1) Värvningskampanj
En golforganisation som du inte är medlem i får inte använda dina uppgifter i GIT för värvningskampanjer.
6.2) Direkt marknadsföring
Dina personuppgifter i GIT får inte lämnas ut till tredje man för ändamålet att bedriva direkt marknadsföring.
Lagligt stöd för personuppgiftsbehandlingar
Golforganisationer har vissa skyldigheter kring vad de får göra med dina person- och golfuppgifter. Det ställs nämligen krav i GDPR på att det ska finnas ett lagligt stöd för varje enskild uppgift som samlas in, registreras och databehandlas. Lagligt stöd kan vara att du har lämnat ett tydligt och frivilligt samtycke, att organisationen får anses ha ett berättigat intresse av att behandlas uppgifterna i golfverksamheten men också att organisationen ska fullgöra ett avtal med dig. I flera fall kan alla tre skälen vara uppfyllda. Mer om de tre skälen och vad som gäller inom golfen:
Idrottens Uppförandekod och GIT-bestämmelserna
I Idrottens Uppförandekod och GIT-bestämmelserna finns det tydligt angivet vad som får göras och varför. Samtycke behövs endast om det saknas annat lagligt stöd för databehandlingen, eller om golforganisationen vill behandla dina personuppgifter för ett syfte eller arbetsuppgift som inte finns reglerad som tillåten behandling i GIT-bestämmelserna. Behandlingarna görs i första hand med stöd av skälet att fullgöra ett avtal. När du blir medlem, bokar en golftid eller anmäler dig till en tävling måste golforganisationen kunna använda dina personuppgifter, tex Golf-ID, namn och handicap.
Reglerna om berättigat intresse och intresseavvägning
I andra hand görs behandlingarna med stöd av reglerna om berättigat intresse och intresseavvägning. När du exempelvis deltar i en golftävling har golforganisationen ett berättigat intresse av att exempelvis publicera en resultatlista med samtliga deltagares resultat, informera om tävlingen i olika medier samt följa upp tävlingen med att räkna fram statistik och rankingpoäng.
Även bildpublicering sker i huvudsak med stöd av reglerna om berättigat intresse och intresseavvägning då klubben har intresse av att informera om sin verksamhet. Golforganisationer ska informera om att bilder tas vid olika tävlingar eller andra evenemang och ge dig möjlighet att motsäga dig publicering av bild och namn på webben eller i sociala medier, till exempel från en prisutdelning. Det gäller särskilt för barn och ungdomar. Golforganisationen bör alltid fråga föräldrarna innan bild och namn publiceras.
Allmänintresse eller rättslig förpliktelse
Avslutningsvis görs det ett antal databehandlingar i syfte att utföra uppgifter av allmänt intresse eller som följer av en rättslig förpliktelse. Det lagliga stödet gäller bland annat för hanteringen av personuppgifter inom ramen för antidopingarbete.
Personuppgiftsansvar inom golfen
Svenska Golfförbundet och golfdistriktsförbunden är personuppgiftsansvariga för alla databehandlingar som förbunden utför.
Golfklubben och golfbolaget är personuppgiftsansvarig för alla databehandlingar som klubben/bolaget utför. Bolag som har tillgång till GIT är personuppgiftsansvarig för databehandlingar som bolaget utför självständigt, men personuppgiftsbiträde till golfklubben om uppgifterna utförs på uppdrag av klubben. Motsvarande principer gäller även för databehandlingar som görs av tränare i eget bolag, fristående golfshop eller golfrestaurang.
Alla underleverantörer och tjänsteföretag som behandlar uppgifter i GIT-databasen är personuppgiftsbiträden.
Dina rättigheter
Rättigheter genom dataskyddsförordningen
Med dataskyddsförordningen (GDPR) har varje person ett antal rättigheter.
Du har med stöd av GDPR rätt att få reda på vad som finns registrerat på dig.
Det enklaste och snabbaste sättet att få ett registerutdrag är genom att logga in i Min Golf och gå igenom dina uppgifter sida för sida. Alla dina personliga inställningar som för NIX:ning från olika utskick och tjänster samt att ditt namn inte ska visas i bland annat start- och resultatlistor går att se och ändra i Min Golf.
I Min Golf får du tillgång till alla dina tävlingsresultat och alla dina registrerade handicapresultat sedan 2004. Bokade golftider sparas i 18–24 månader och visas också Min Golf.
Du kan inte i Min Golf se eventuella kategoribyten, tidigare klubbtillhörigheter, innehav av aktie/spelrätt eller innehav av skåp. Dessa uppgifter registreras i GIT och finns sparade under en begränsad tid.
Ekonomirelaterade uppgifter som äldre fakturor eller betalningar registreras i det ekonomisystem som golforganisationen använder. Uppgifterna sparas enligt lag i 7 år.
Registrerade uppgifter ska vara korrekta
Du har med stöd av GDPR rätt att kräva att alla uppgifter som registrerats är aktuella och korrekta. Det är också din skyldighet att se till att de uppgifter som registreras i tävlingar eller i handicapregistret är korrekta (t ex din handicap eller ditt spelresultat).
Det enklaste och snabbaste sättet att ändra på felaktiga eller inaktuella basuppgifter är genom att själv logga in i Min Golf och där ändra t ex din e-postadress eller postadress. I Min Golf kan du också ändra ditt lösenord och alla dina personliga inställningar för NIX:ning från olika utskick och tjänster. Du kan också ställa in att ditt namn inte ska visas i bland annat start- och resultatlistor går att se och ändra i Min Golf (anonymitet/sekretess).
Du har med stöd av GDPR rätt att kräva att samtliga eller vissa personrelaterade uppgifter som registrerats om dig ska raderas. Rättigheten är inte förbehållslös, ett antal förutsättningar måste vara uppfyllda. För mer information, se sid 45 artikel 17 i Dataskyddsförordningen.
I Min Golf finns ett digitalt formulär du ska fylla i för att den ansvariga golforganisationen ska kunna behandla ditt önskemål om radering. Formuläret kommer att initialt att behandlas av Svenska Golfförbundet. Efter denna behandling och genomgång av fakta kommer förbundet att lämna en rekommendation till den ansvariga golforganisationen som ska fatta det formella beslutet om ja eller nej till ditt önskemål om radering.
Rättigheter i GIT-bestämmelserna
I GIT-bestämmelserna har vi utökat med fler rättigheter för dig som individ.
NIX:ning från olika slags utskick
För att värna din integritet och skydda dina uppgifter finns ett antal NIX-inställningar i GIT. Du kan alltså själv bestämma om ditt namn ska synas på start- och resultatlistor på webben och om du ska få mejl och enkäter från golfanläggningar du besökt som gästspelare. NIX-inställningarna finns i Min Golf. Personer med skyddsbehov kan dessutom få sina personuppgifter särskilt skyddade i GIT (kontakta din klubb för mer information).
Du har med stöd av punkten 8.1 i GIT-bestämmelserna rätt att bli spärrad från följande utskick:
– Utskick från Svenska Golfförbundet
– Utskick från de 21 golfdistriktsförbunden
– Utskick från annan golforganisation än din(a) medlemsklubb(ar),
– Mejlbekräftelser om bokning/ombokning/avbokning av starttid på golfanläggning,
– Mejlbekräftelser om anmälan/avanmälan eller publicering av starttid i golftävling.
Anonymitet (tidigare sekretess)
Du har med stöd av punkten 8.2 i GIT-bestämmelserna en förbehållslös* rätt till anonymitet på webbsidor, rapporter, texter med mera som ska publiceras eller spridas utanför en begränsad personkrets. Med rapporter avses exempelvis start- och resultatlistor i tävlingar, handicaplistor och medlemsförteckningar. Med spridas utanför en begränsad personkrets avses exempelvis att uppgifterna ska publiceras på klubbens hemsida, i Min Golf, i sociala medier eller i klubbtidningen.
Ditt namn kommer att ersättas med ”anonym”. Det här är en nyhet från och med 2018. Tidigare skrevs ordet ”sekretess” på de rader som innehöll personuppgifter för golfspelare som valt att vara anonyma.
* OBS! Tävlingsarrangörer kan besluta i tävlingsbestämmelserna att alla deltagare måste acceptera att deras namn visas och skrivs på listor som sprids utanför klubben. En sådan bestämmelse finns bland annat på Svenska Golfförbundets tävlingar på Swedish Golf Tour och Teen Tour.
Få ett Golf-ID som inte utvisar födelsedatum
Du har med stöd av punkten 9.2 i GIT-bestämmelserna rätt att efter anmälan till din medlemsklubb få byta golf-ID till en annan sifferkombination än det egna födelsedatumet.
Ett nytt Golf-ID skapas i GIT. Du kan alltså inte välja en egen sifferkombination.
Du som har tilldelats en så kallad skyddad identitet av Skatteverket har med stöd av punkten 8.4 i GIT-bestämmelserna rätt till utökad sekretess i GIT. Med utökad sekretess menas att dina kontaktuppgifter döljs (även för medlemsklubben), att du tilldelas ett nytt Golf-ID som inte är knutet till födelsedatum och även att alias-namn och adress kan registreras.
Svenska Golfförbundet ansvarar för registreringen av utökad sekretess, vilken genomförs på begäran av din medlemsklubb.
Mer om Golfens IT-system
GIT är Golfsveriges gemensamma IT-system och innehåller moduler och stöd för administrationen av medlemsregistret, tidbokningen, handicap, avgifter och fakturaunderlag, tävlingar, funktionärsregister mm. Alla datauppgifter lagras i en central databas.
GIT har varit i drift sedan 2004 och vidareutvecklas kontinuerligt. SGF:s personal leder och styr förvaltningen, vidareutvecklingen samt användarsupport och utbildningen av klubbarnas personal och anställda. Förvaltning och utveckling görs av främst XLENT och GolfBox. Driften är utlagd på den extern driftleverantör.
Klubbadministratörer och klubbfunktionärer använder ett klassiskt Windows-program, GIT-klienten, för att få tillgång till klubbens data och personuppgifter som sparats i den centrala databasen. Det är i GIT-klienten som klubbens personal bokar tider, lägger in medlemmar, ändrar handicap och tar fram rapporter och statistik.
Du som golfspelare har tillgång till dina egna personuppgifter, tidbokningen, tävlingsregistret med mera via bland annat Min Golf på Golf.se.
Golfens IT-system omfattar ett antal programvaror, klienter, funktioner, tjänster och tredjepartsprodukter:
– Central serverlösning (molnlösning) med programvara.
– GIT-Klienten – ett program som installeras och körs på klubbarnas Windows-datorer och innehåller moduler för bland annat medlemshantering, fakturering, avgifter/priser, tidbokning, handicap och statistikrapporter.
– GIT Online – ett webbaserat program som ska ersätta GIT-Klienten 2020–2021.
– GIT Tävling – webbprogram för klubbarna att administrera tävlingar på alla nivåer.
– GIT API – programvara som används för att integrera GIT med andra system, till exempel ekonomisystem, kassasystem, gästenkäter, Players 1st, turismbokningstjänster som Citybreak och Golfswitch samt även webbtjänsten Min Golf.
– GIT TV-visning – programvara för klubbarna för att via information, bokningsläget, tävlingsresultat med mera på TV-skärmar.
– Min Golf – golfspelarnas webbtjänst för tidbokning, tävling, handicap, statistik, med mera.
– Min Golf Företag – tidbokning på webben för hotell, sponsorer med flera (avtal med klubb).
– Min Golf-appen – en applikation för tidbokning med mera via mobilen.
– Tredjepartsprodukter – en rad olika som On Tag (EVRY), Golfterminalen (EVRY), ekonomisystem (flera) och kassasystem (flera) som fungerar integrerat med GIT via GIT API.
Kontakt
Du ska alltid vända dig till din medlemsklubb med frågor, klagomål eller anmälningar om felaktiga eller olagliga databehandlingar som du har utsatts för. Din avtalsmässiga relation är med medlemsklubben och klubben ska därför alltid hjälpa dig i frågor relaterade till dataskyddsförordningen (GDPR).
Du kan också vända dig till Svenska Golfförbundet för information eller om du behöver framföra eller anmäla att du utsatts för felaktiga eller olagliga databehandlingar, eller att dina personuppgifter i GIT spridits till tredje man.