ETIK & JURIDIK

PRINCIP

Föreningen är personuppgiftsansvarig — oavsett storlek

GDPR gäller alla organisationer som behandlar personuppgifter om EU-medborgare. Det inkluderar din fotbollsklubb, din bostadsrättsförening och er lokala NGO. Storleken spelar ingen roll för om lagen gäller — däremot påverkar den hur administrativa kraven kan uppfyllas.

Ideella föreningar behandlar typiskt personuppgifter i: medlemsregister, deltagarlistor, frivilligjournaler, foton från aktiviteter, kontaktuppgifter till samarbetspartners och ansökningsmaterial som namnger individer.

Det som är viktigt ur AI-perspektiv: identifierande personuppgifter om enskilda — namn, personnummer, kontaktuppgifter, information om hälsa, ekonomi eller utsatta situationer — ska inte matas in i publika AI-verktyg utan avtal.

GDPR GÄLLER ER — OAVSETT OM NI HAR IT-AVDELNING ELLER INTE

KRITISKT

GDPR I PRAKTIKEN

Vad ni behöver ha på plats

Grundkraven är enkla att förstå — och en liten förening kan uppfylla dem utan juridisk expertis:

• Rättslig grund för behandlingen — de flesta föreningar kan stödja sig på "berättigat intresse" för medlemsregister, men ta reda på vad som gäller för er specifikt
• Dataskyddsinformation till medlemmar — en kort text på hemsidan eller vid inträde: vilka uppgifter ni samlar in, varför och hur länge ni sparar dem
• Inte spara mer än nödvändigt — gamla deltagarlistor och utträdda medlemmars uppgifter ska inte ligga kvar för evigt
• Rätt att bli raderad — om en person begär det ska ni kunna radera deras uppgifter
• Säker hantering — medlemsregistret ska inte ligga i en osäkrad Excelfil som delas via mejl

Datainspektionen (IMY) har bra vägledning specifikt för ideella föreningar på imy.se — den är gratis och skriven för icke-jurister.

MINIMALT MEN KORREKT — BÄTTRE ÄN INGENTING

AI OCH PERSONUPPGIFTER

Vad som aldrig ska matas in i publika AI-verktyg

Mata aldrig in följande i Claude, ChatGPT eller liknande publika verktyg utan att ha läst deras datapolicy och tecknat avtal:

• Namn + kontaktuppgifter på enskilda medlemmar, deltagare eller brukare
• Personnummer
• Information om hälsa, ekonomi eller sociala svårigheter knutna till en namngiven person
• Uppgifter om minderåriga
• Ansökningsunderlag eller rapporter med personnamn som inte ska spridas
• Foton som identifierar enskilda i känsliga sammanhang

Vad du alltid kan göra: anonymisera. Ta bort namn och identifierande uppgifter och ersätt med roller ("en deltagare", "ansvarig koordinator"). Texten fungerar lika bra för AI — men utan risken.

ANONYMISERAT IN → SAMMA HJÄLP UTAN RISK

KRITISKT

STYRELSEANSVARET

Vem ansvarar när AI används fel?

En ideell förening är en juridisk person — och styrelsen är ansvarig för att föreningen följer lagar och regler. Det inkluderar dataskyddslagen.

Om en volontär eller styrelseledamot matar in känsliga personuppgifter i ett publikt AI-verktyg och det leder till en personuppgiftsincident, kan föreningen som organisation vara ansvarig.

Lösningen är inte att förbjuda AI — det är orealistiskt och motverkar syftet. Lösningen är tydliga riktlinjer (se nästa sida) och en grundläggande förståelse för vad som aldrig ska hanteras utan säkerhetsgranskning.

STYRELSEN ANSVARAR — RIKTLINJER SKYDDAR ALLA

TROVÄRDIGHET OCH TRANSPARENS

Var öppen med att ni använder AI

AI-genererade texter behöver inte märkas i alla sammanhang — men transparens är alltid en bra princip i ideell kommunikation.

• Ansökningar: finansiärer bedömer verksamheten, inte vem som formulerade ansökan. AI-stöd i formuleringen är inget problem — men AI kan inte ersätta de faktiska resultaten ni rapporterar.
• Kommunikation med medlemmar: inget krav på att märka AI-assisterat skrivande, men om någon frågar: var ärlig.
• Protokoll: AI-strukturerade protokoll är helt OK — ordförande och sekreterare ansvarar för innehållet oavsett.
• Sociala medier: inga formella krav, men om er ton plötsligt låter helt annorlunda märker folk det.

TRANSPARENS BYGGER FÖRTROENDE — IDEELLT ARBETE LEVER PÅ FÖRTROENDE