Produktnytt

Registerutdrag och GDPR – så hanterar ni personuppgiftsförfrågan

Viktoria Malmgren 5 mars 2026

Har ni fått en förfrågan från en medlem som vill få ut sina personuppgifter? Det kan kännas överväldigande första gången, men med rätt rutiner och system blir det en hanterbar del av föreningens administration. Enligt GDPR har varje medlem rätt att få ut sina uppgifter – och som förening har ni en skyldighet att svara inom 30 dagar. Här guidar vi er steg för steg genom hela processen, från förfrågan till leverans.

Vad är en personuppgiftsförfrågan enligt GDPR?

En personuppgiftsförfrågan, ofta kallad registerutdrag, är medlemmens lagstadgade rätt enligt GDPR artikel 15 att få bekräftelse på vilka personuppgifter föreningen behandlar om hen. Det handlar om all information som kan knytas till en levande person – namn, adress, personnummer, närvaroregistrering, betalningshistorik och kommunikationsloggar.

För er förening innebär det att ni måste:

  • Bekräfta om ni behandlar personuppgifter om medlemmen
  • Tillhandahålla en kopia av uppgifterna i begriplig form
  • Informera om ändamål, mottagare och lagringstid
  • Göra detta kostnadsfritt (om inte begäran är uppenbart ogrundad eller repetitiv)

Medlemmen kan begära detta när som helst, och ni har 30 dagar på er att svara. Vid särskilt komplexa förfrågningar kan ni förlänga tiden med ytterligare två månader – men då måste ni meddela medlemmen inom den första månaden.

Rätten till registerutdrag skiljer sig från rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen. Här handlar det specifikt om medlemmens egna uppgifter i föreningens digitala system, inte om allmänna föreningsdokument.

Vilka roller och behörigheter krävs för GDPR-hantering?

För att hantera personuppgiftsförfrågningar effektivt behöver ni tydliga roller och ansvarsområden i föreningen. Det börjar med att styrelsen utser en personuppgiftsansvarig – ofta föreningens ordförande eller kanslichef.

Personuppgiftsansvarig

Den personuppgiftsansvariga har det övergripande ansvaret för att:

  • Säkerställa att föreningen följer GDPR
  • Svara på personuppgiftsförfrågningar inom utsatt tid
  • Besluta om policyer för personuppgiftshantering
  • Vara kontaktperson gentemot Integritetsskyddsmyndigheten (IMY)

Kansliet

Kansliet hanterar den praktiska administrationen:

  • Tar emot och registrerar inkommande förfrågningar
  • Sammanställer registerutdrag från systemet
  • Verifierar medlemmens identitet
  • Dokumenterar alla steg i processen

I SportAdmin sköter kansliet detta under Administration → Behörigheter, där ni kan tilldela rätt åtkomstnivåer för varje roll.

Kassören

Kassören har begränsad åtkomst och ansvarar endast för:

  • Ekonomiska uppgifter i registerutdraget
  • Betalningshistorik och faktureringsunderlag
  • Verifiering av ekonomiska transaktioner

Styrelsens ansvar

Styrelsen fattar beslut om:

  • Policy för personuppgiftshantering
  • Vilka behörigheter olika roller ska ha
  • Rutiner för verifiering och dokumentation
  • Publicering av information till medlemmar och lagledare

Rekommendation: Dokumentera rollerna i ett styrelsebeslut och publicera informationen på föreningens webbplats så att alla medlemmar vet vem de ska kontakta vid en personuppgiftsförfrågan.

Så hanterar ni en registerutdragsförfrågan steg för steg

När en medlem begär ut sina personuppgifter är det viktigt att följa en strukturerad process. Här är de konkreta stegen ni behöver ta:

Steg 1: Ta emot och registrera förfrågan

Medlemmen kan skicka sin begäran via e-post, brev eller muntligen. Registrera omedelbart:

  • Datum för förfrågan
  • Medlemmens namn och kontaktuppgifter
  • Önskat leveranssätt (digitalt eller på papper)
  • Eventuella specifika önskemål om innehåll

Bekräfta mottagandet inom några dagar och informera om att ni kommer att svara inom 30 dagar.

Steg 2: Verifiera identitet

Innan ni lämnar ut några uppgifter måste ni säkerställa att personen verkligen är den hen utger sig för att vara. Använd:

  • E-postadress som finns registrerad i medlemsregistret
  • Swish-verifiering (bekräfta personnummer)
  • Vid tvivel: be om en kopia av giltig legitimation

Detta skyddar både medlemmens integritet och föreningen från obehörig åtkomst.

Steg 3: Sammanställ uppgifter från systemet

Med SportAdmin kan kansliet enkelt exportera nödvändiga uppgifter:

  1. Gå till medlemsregistret och sök upp personen
  2. Använd filterfunktionen för att samla in all relevant data
  3. Inkludera närvarounderlag från träningar och aktiviteter
  4. Exportera betalningshistorik och faktureringsunderlag
  5. Samla kommunikationsloggar (utskick, SMS, pushnotiser)

Systemet visar tydligt vilka uppgifter som lagras, hur länge och varför – vilket gör sammanställningen betydligt enklare.

Steg 4: Komplettera med obligatorisk information

Registerutdraget måste innehålla mer än bara rådata. Inkludera:

  • Ändamål: Varför föreningen behandlar uppgifterna (medlemskap, verksamhet, ekonomi)
  • Lagringstid: Hur länge uppgifterna sparas (t.ex. ”så länge medlemskapet är aktivt + 2 år”)
  • Mottagare: Vilka som kan få tillgång till uppgifterna (styrelse, kansli, lagledare, förbund)
  • Rättigheter: Information om rätten till rättelse, radering och klagomål till IMY

Steg 5: Leverera registerutdraget

Välj leveranssätt baserat på medlemmens önskemål:

  • Digitalt: Säker PDF via e-post (krypterad om möjligt)
  • Papper: Utskrivet och skickat med post till folkbokföringsadressen
  • Personlig utlämning: Vid möte på kansliet efter legitimationskontroll

Dokumentera leveransdatum och metod i er logg.

Steg 6: Dokumentera hela processen

Spara all dokumentation i minst två år:

  • Ursprunglig förfrågan
  • Verifieringsunderlag
  • Kopia av utlämnat registerutdrag
  • Leveransbekräftelse
  • Eventuell korrespondens

Detta är er försäkring vid eventuella frågor från IMY eller medlemmen själv.

Vilka personuppgifter ska ingå i registerutdraget?

Ett komplett registerutdrag innehåller alla personuppgifter som föreningen behandlar om medlemmen. Det är viktigt att ni är noggranna – ofullständiga utdrag kan leda till klagomål till IMY.

Grundläggande medlemsinformation

  • Namn, personnummer, adress
  • E-postadress och telefonnummer
  • Medlemstyp och medlemsstatus
  • Startdatum för medlemskap
  • Gruppmedlemskap (lag, sektioner)
  • Familjerelationer i systemet

Aktivitetsrelaterade uppgifter

  • Närvaroregistrering från träningar och matcher
  • Kalenderaktiviteter och kallelser
  • Anmälningar till läger, cuper och evenemang
  • Prova-på-status och intresseanmälningar
  • Utmärkelser och prestationer

Ekonomiska uppgifter

  • Medlemsavgifter och betalningshistorik
  • Fakturor och aviseringar
  • Betalningsmetod (Swish, kort, faktura)
  • Lagkassetransaktioner
  • Försäljningar och köp
  • Rabattkoder som använts

Kommunikationsloggar

  • E-postutskick från föreningen
  • SMS-meddelanden
  • Pushnotiser via appen
  • Nyhetsbrev och föreningsutskick

Systemloggar

  • Inloggningshistorik i appen och på webbplatsen
  • Ändringar i medlemsuppgifter (vem, när)
  • Samtycken som lämnats (t.ex. bildpublicering)

Viktigt: Inkludera inte uppgifter om andra personer, även om de förekommer i samma sammanhang (t.ex. andra deltagare i en aktivitet). Registerutdraget ska endast innehålla medlemmens egna uppgifter.

Med SportAdmin får ni automatiskt en tydlig översikt över vilka uppgifter som lagras och var de finns. Systemet visar också hur länge olika typer av data sparas enligt bokföringslagen och GDPR, vilket gör sammanställningen både snabbare och säkrare.

Policy och rutiner för personuppgiftshantering

En tydlig policy är grunden för effektiv GDPR-hantering. Styrelsen behöver fastställa och publicera riktlinjer som gäller för hela föreningen – från kansli till alla lag.

Rekommenderade policypunkter

1. Svarstid och kommunikation

  • Bekräfta mottagandet inom 3 arbetsdagar
  • Leverera ett komplett svar inom 30 dagar
  • Vid komplexa förfrågningar: meddela förlängning inom 30 dagar
  • Håll medlemmen informerad om processen

2. Verifieringsrutiner

  • Kontrollera identiteten innan utlämning
  • Använd registrerad e-post som primär verifiering
  • Vid tvivel: begär legitimation eller Swish-bekräftelse
  • Dokumentera verifieringsmetod i loggen

3. Standardiserad process

  • Samma mall för alla registerutdrag
  • Checklista för att säkerställa fullständighet
  • Tydlig ansvarsfördelning mellan kansli och kassör
  • Fast rutin för dokumentation

4. Kostnadsfrihet och undantag

  • Första förfrågan är alltid kostnadsfri
  • Vid uppenbart ogrundade eller repetitiva begäranden: rimlig avgift efter bedömning
  • Dokumentera skälen för eventuell avgift eller avslag
  • Informera medlemmen om rätten att överklaga till IMY

Så fastställer ni policyn

  1. Styrelsebeslut: Ta upp policyn på ett ordinarie styrelsemöte och besluta om riktlinjerna
  2. Dokumentation: Protokollför beslutet och skapa ett policydokument
  3. Publicering: Lägg ut policyn på föreningens webbplats under ”Integritetspolicy” eller ”GDPR”
  4. Information: Skicka ut informationen till alla lagledare och administratörer
  5. Utbildning: Gå igenom rutinerna med kansli och kassör

Mall för styrelseprotokoll

”§X Policy för hantering av personuppgiftsförfrågningar

Styrelsen beslutar att fastställa följande rutiner för hantering av registerutdrag enligt GDPR:

  • Kansliet ansvarar för mottagande, verifiering och sammanställning
  • Svar lämnas inom 30 dagar från mottagandet
  • Identitet verifieras via registrerad e-post eller legitimation
  • All dokumentation sparas i minst 2 år
  • Policyn publiceras på föreningens webbplats

Beslut: Enhälligt”

Regelbunden uppföljning

Schemalägg återkommande kontroller:

  • Månadsvis: Kansliet kontrollerar att inga förfrågningar har missats
  • Kvartalsvis: Styrelsen följer upp antalet förfrågningar och eventuella problem
  • Årligen: Revidera policyn baserat på erfarenheter och uppdateringar i lagstiftningen

Med SportAdmin får ni automatisk spårbarhet i systemet, vilket gör uppföljningen enklare. Ni kan exportera loggar och rapporter som visar all personuppgiftshantering – perfekt underlag för styrelsens uppföljning.

Vanliga utmaningar och hur ni undviker dem

Även med tydliga rutiner kan det uppstå problem. Här är de fyra vanligaste utmaningarna och hur ni förebygger dem:

1. Försenade svar

Problem: Förfrågan hamnar i fel inkorg eller glöms bort, och 30-dagarsgränsen passeras.

Lösning:

  • Skapa en dedikerad e-postadress: gdpr@erenforening.se
  • Sätt upp en automatisk bekräftelse vid mottagande
  • Använd en enkel logg (Excel eller i SportAdmin) för att följa upp status
  • Sätt påminnelser i kalendern: dag 7, 14, 21 och 28

SportAdmins medlemsdatabas gör det enkelt att snabbt hitta och exportera uppgifter, vilket minskar risken för förseningar.

2. Ofullständiga registerutdrag

Problem: Ni missar att inkludera närvarodata, kommunikationsloggar eller ekonomiska transaktioner.

Lösning:

  • Använd en standardiserad checklista för varje utdrag
  • Exportera systematiskt från alla delar av systemet: medlemsregister, aktiviteter, ekonomi, kommunikation
  • Låt en annan person granska innan leverans
  • Spara en mall som ni återanvänder

Fördelen med ett integrerat system som SportAdmin är att all data finns samlad på ett ställe, vilket minskar risken att missa något.

3. Identitetsverifiering

Problem: Någon begär ut uppgifter via en okänd e-postadress eller utan att kunna verifiera sin identitet.

Lösning:

  • Be alltid om verifiering om e-postadressen inte matchar registret
  • Använd Swish-bekräftelse (personnummer syns i transaktionen)
  • Vid fortsatt tvivel: be om en kopia av giltig legitimation
  • Dokumentera alla verifieringssteg i loggen

Kompromissa aldrig med säkerheten – det är bättre att be om extra verifiering än att riskera att lämna ut uppgifter till fel person.

4. Repetitiva eller ogrundade förfrågningar

Problem: Samma medlem begär registerutdrag varje månad utan rimlig anledning, eller begäran är uppenbart ogrundad.

Lösning:

  • Dokumentera alla tidigare förfrågningar och svar
  • Vid en andra förfrågan inom 6 månader: fråga vad som har ändrats sedan senast
  • Vid en uppenbart ogrundad begäran: förklara varför och erbjud alternativ (t.ex. att visa specifik information i stället)
  • Om ni beslutar att ta ut en avgift eller avslå: dokumentera skälen noggrant och informera om rätten att överklaga till IMY

Kom ihåg: Bevisbördan ligger på föreningen att visa att en begäran är ogrundad eller repetitiv. Var försiktig med att neka.

✅ Checklista för att undvika problem

  • ☑ Tydlig kontaktväg publicerad på webbplatsen
  • ☑ Automatisk bekräftelse vid mottagande
  • ☑ Standardmall för registerutdrag
  • ☑ Checklista för fullständighet
  • ☑ Rutiner för identitetsverifiering
  • ☑ Logg för alla förfrågningar och svar
  • ☑ Kalenderpåminnelser för deadlines
  • ☑ Dubbelkontroll innan leverans

Spårbarhet och dokumentation för regelefterlevnad

Integritetsskyddsmyndigheten (IMY) kan när som helst begära att få se hur ni hanterar personuppgifter. Därför är spårbarhet och dokumentation avgörande – inte bara för att uppfylla GDPR, utan också för att skydda föreningen vid eventuella klagomål.

Vad ni måste dokumentera

För varje personuppgiftsförfrågan:

Vad Detaljer Lagringstid
Inkommande förfrågan Datum, avsändare, kontaktväg, innehåll Minst 2 år
Identitetsverifiering Metod, datum, resultat Minst 2 år
Sammanställning Vilka uppgifter som exporterats, från vilka system Minst 2 år
Leverans Datum, metod, mottagarbekräftelse Minst 2 år
Kopia av utdrag Exakt vad som lämnades ut Minst 2 år
Eventuell korrespondens All kommunikation med medlemmen Minst 2 år

Systemloggar i SportAdmin

SportAdmin sparar automatiskt viktig spårbarhetsinformation:

  • Närvarounderlag: Registrering av när och av vem närvaro loggats
  • Fakturaunderlag: Fullständig historik över alla ekonomiska transaktioner
  • Arvodesunderlag: Spårbarhet för ledarersättningar
  • Ändringsloggar: Vem som har ändrat vilka uppgifter och när
  • Kommunikationsloggar: Alla utskick, SMS och pushnotiser

Systemet följer både GDPR och bokföringslagen, vilket innebär att vissa underlag sparas även efter att en person tagits bort från registret. Detta är lagligt och nödvändigt för ekonomisk dokumentation.

Exportfunktioner för regelefterlevnad

När IMY begär dokumentation eller ni behöver underlag för styrelseuppföljning kan ni exportera:

  • Medlemsregister med fullständig historik
  • Ekonomirapporter per person eller period
  • Närvarostatistik och aktivitetsloggar
  • Kommunikationshistorik
  • Ändringsloggar för personuppgifter

Dessa exporter är färdigformaterade och enkla att använda som underlag vid revision eller myndighetskontroll.

Gallring och lagringstider

GDPR kräver att ni inte sparar personuppgifter längre än nödvändigt. SportAdmin hjälper er att följa detta genom:

  • Automatisk markering: Systemet visar vilka personer som varit inaktiva i över 2 år
  • Smarta filter: Filtrera baserat på senaste inloggning, närvaro eller grupptillhörighet
  • Massgallring: Ta bort flera inaktiva personer samtidigt enligt tydliga kriterier
  • Återställning: Raderade personer kan återställas inom 30 dagar om ett misstag har skett
  • Skydd av underlag: Ekonomiska underlag sparas enligt bokföringslagen även efter gallring

Så skapar ni en dokumentationsrutin

  1. Loggmall: Skapa en enkel Excel-fil eller använd ett dokument i er molntjänst med kolumner för: Datum mottaget, Namn, Verifieringsmetod, Status, Leveransdatum, Ansvarig
  2. Mappstruktur: Skapa en säker mapp (endast tillgänglig för kansli och personuppgiftsansvarig) med undermappar per år
  3. Namngivning: Använd ett konsekvent namnformat: ÅÅÅÅMMDD_Efternamn_Registerutdrag.pdf
  4. Backup: Säkerhetskopiera dokumentationen regelbundet
  5. Åtkomstbegränsning: Endast personuppgiftsansvarig och utsedda administratörer ska ha tillgång

Årlig genomgång

Schemalägg en årlig genomgång där ni:

  • Kontrollerar att all dokumentation är komplett
  • Gallrar dokumentation som är äldre än 2 år (om inte bokföringslagen kräver längre lagringstid)
  • Uppdaterar rutiner baserat på erfarenheter
  • Utbildar nya administratörer i rutinerna

Med god spårbarhet och systematisk dokumentation är ni förberedda för både IMY-kontroller och eventuella klagomål från medlemmar. Det ger trygghet för både föreningen och medlemmarna.

Vanliga frågor om registerutdrag och GDPR

Måste vi verkligen svara på alla personuppgiftsförfrågningar?
Nej, den första förfrågan ska alltid vara kostnadsfri. Vid repetitiva begäranden kan ni ta ut en rimlig avgift som täcker administrativa kostnader, men detta är sällsynt och kräver noggrann dokumentation.

Hur lång tid har vi på oss att svara?
Medlemmen har rätt att klaga till Integritetsskyddsmyndigheten (IMY), som kan besluta om sanktionsavgifter. Dessutom skadar det förtroendet för föreningen. Sätt upp tydliga påminnelser och följ er process noggrant.

Måste vi inkludera uppgifter om andra personer i utdraget?
Använd den e-postadress som finns registrerad i medlemsregistret som första steg. Vid tvivel: begär Swish-bekräftelse (personnummer syns) eller en kopia av giltig legitimation. Dokumentera alltid vilken metod ni har använt.

Kan vi leverera registerutdraget via e-post?
Informera alltid om rätten att klaga till IMY (imy.se). Dokumentera all kommunikation och försök lösa eventuella missförstånd genom dialog. Om medlemmen påpekar att något saknas, komplettera omgående.

Hur länge måste vi spara dokumentationen?
Ja, GDPR gäller alla föreningar som behandlar personuppgifter digitalt, oavsett storlek. Kraven är desamma för en liten förening med 50 medlemmar som för en stor förening med 5 000 medlemmar.

Kan SportAdmin hjälpa oss med registerutdrag?
Ja, SportAdmin gör processen betydligt enklare. Systemet samlar all data på ett ställe, visar tydligt vilka uppgifter som lagras och hur länge, och erbjuder enkla exportfunktioner. Ni får automatisk spårbarhet och kan snabbt sammanställa kompletta registerutdrag.

Gör GDPR-hanteringen till en styrka för er förening

Att hantera personuppgiftsförfrågningar korrekt handlar inte bara om att följa lagen – det handlar om att visa medlemmarna att ni tar deras integritet på allvar. Med tydliga rutiner, rätt roller och ett system som stödjer er blir GDPR-efterlevnad en naturlig del av föreningens administration.

SportAdmin hjälper över 1 700 föreningar att hantera medlemsregister, ekonomi och kommunikation på ett säkert och GDPR-kompatibelt sätt. Systemets inbyggda funktioner för spårbarhet, gallring och export gör det enkelt att både följa lagen och spara tid.

Nästa steg för er förening:

  • Fastställ en policy för personuppgiftshantering på nästa styrelsemöte
  • Utse personuppgiftsansvarig och definiera roller
  • Skapa en logg och en checklista för registerutdrag
  • Publicera information om GDPR-hantering på er webbplats
  • Utbilda kansli och kassör i rutinerna
  • Schemalägg en årlig genomgång av dokumentationen

Vill ni veta mer om hur SportAdmin kan förenkla er GDPR-hantering och ge er full kontroll över medlemsregistret? Kontakta oss för en genomgång av hur systemet stödjer er förening med automatisk spårbarhet, smarta exportfunktioner och inbyggt skydd för personuppgifter. Vi hjälper er att göra GDPR till en styrka i stället för en börda.

Share