GDPR och barns personuppgifter i föreningen — vad gäller och hur hanterar du det?
Publicerad 2026-07-01 · Av Mikael Andersson
Det är fredag eftermiddag, träningen är precis slut, och föreningens fotograf mailar över dagens bilder. Någon i styrelsen tänker: "de här är ju fina, vi lägger upp dem på Facebook ikväll." Låter oskyldigt. Men GDPR har synpunkter, och de blir betydligt strängare så fort det handlar om barn. Ansvarar du för en ideell förening med ungdomsmedlemmar behöver du faktiskt ha koll på det här.
Det är fredag eftermiddag, träningen är precis slut, och föreningens fotograf mailar över dagens bilder. Någon i styrelsen tänker: "de här är ju fina, vi lägger upp dem på Facebook ikväll." Låter oskyldigt. Men GDPR har synpunkter, och de blir betydligt strängare så fort det handlar om barn. Ansvarar du för en ideell förening med ungdomsmedlemmar behöver du faktiskt ha koll på det här – inte för att det är farligt, utan för att det är lätt att göra fel av ren välvilja.
Varför barn får extra skydd enligt GDPR
Barn räknas som särskilt skyddsvärda i EU:s dataskyddsförordning. Inte för att skrämmas, utan av ett enkelt skäl: ett barn kan inte alltid själv bedöma vad det innebär att lämna ut sina uppgifter. Därför läggs ansvaret på vårdnadshavaren. Och redan de mest vardagliga sakerna – namn, närvarolista, en mejladress till ett syskon som fyller i anmälan – räknas som personuppgifter från dag ett. Det behöver inte vara känsligt för att omfattas.
Vad kan påverkas i din förening?
- Medlemsregister och närvaro
- Träningsschema och noteringar
- Kontaktuppgifter till vårdnadshavare
- Fotografier från träning och event
- Hälso- och allergiuppgifter
- Betalningsuppgifter från föräldrar
Samtycke från vårdnadshavare – grundstenen i allt
Det viktigaste kommer först: du behöver skriftligt samtycke från den som har vårdnaden innan du börjar spara eller bearbeta ett barns uppgifter. Redan vid medlemsansökan, alltså – inte när någon råkar tänka på det sex månader senare.
Vad ska samtycket innehålla?
- Ett klart syfte (medlemskap, närvaro, träningsinformation)
- Vilka uppgifter ni faktiskt samlar in
- Hur länge ni tänker spara dem
- Vem som har åtkomst till dem
- Eventuella särskilda ändamål, som fotografering eller publicering i sociala medier
Några praktiska tips
- Ha ett samtyckesformulär som skrivs under redan vid medlemskrivningen
- Var tydlig med vad som är obligatoriskt (närvaro, av säkerhetsskäl) och vad som är frivilligt (Facebook-foton är nästan alltid frivilligt)
- Spara samtyckena någonstans ni faktiskt hittar dem – ni måste kunna visa upp dem om Integritetsskyddsmyndigheten hör av sig
- Osäker på formuleringarna? Läs GDPR-guiden för föreningar innan ni skriver eget
Fotografier och bilder – bildrätt är inte samma sak som dataskydd
Här går många fel: "Vi tog bilden, så vi äger den, så vi kan lägga upp den." Bildrätt och GDPR-samtycke är faktiskt två helt olika juridiska frågor som råkar landa på samma foto. Ni kan ha full rätt att använda bilden och ändå bryta mot GDPR, om samtycket för just publicering saknas.
Så skiljer de sig åt
- Bildrätt: den juridiska rätten att använda fotot, till exempel kommersiellt
- GDPR-samtycke: rätten att behandla – spara, publicera, dela – en persons uppgifter. Helt separat fråga
Vad gäller för sociala medier?
- Ni behöver ett samtycke som specifikt nämner fotografering och delning på Facebook, Instagram eller TikTok – ett allmänt medlemssamtycke räcker sällan
- Var tydlig med var bilden faktiskt kommer att publiceras
- Och respektera det när en förälder ber om att en bild tas bort, oavsett anledning
En sak till, värd att komma ihåg: säger ett äldre barn – tolv, tretton år och uppåt – själv nej till att synas på föreningens sida, lyssna på det. Det är inte bara juridiskt klokt, det bygger förtroende hos hela familjen.
Känsliga uppgifter – allergi, hälsa och trosuppfattning
GDPR har en egen kategori för sådant som räknas som extra känsligt: hälsouppgifter (allergier, medicinering, funktionsnedsättning), trosuppfattning, etnisk bakgrund. Sådant får ni bara behandla om det finns ett tydligt legitimt syfte, och kraven på säkerhet ligger en bra bit över vad som gäller för vanliga medlemsuppgifter.
Några exempel från vardagen i en idrottsförening
- En ungdom har jordnötsallergi. Ni sparar det av säkerhetsskäl inför träningsläger. Helt okej.
- Samma ungdom är muslim och behöver anpassad kost på lägret. Det kräver ett uttryckligt samtycke, gärna skriftligt från vårdnadshavaren.
- En medlem har en funktionsnedsättning som ni behöver känna till för att kunna anpassa träningen. Spara bara det som faktiskt behövs – inget mer.
Praktiska regler för känslig data
- Spara bara det som verkligen krävs för träningen eller säkerheten
- Begränsa vem som ser det – hela styrelsen behöver sällan veta om en enskild allergi
- Skydda uppgifterna extra, med kryptering eller begränsad åtkomst
- Radera dem så fort de inte längre fyller sitt syfte
Lagringstid – hur länge får ni spara uppgifter om ett barn?
En fråga som dyker upp titt som tätt: barnet slutar i föreningen – hur länge får ni behålla uppgifterna? Svaret beror på syftet, och det finns inte en enda regel som gäller allt.
- Aktiva medlemmar: så länge medlemskapet pågår, plus en månad eller två för administrationen kring avslutet
- Gamla medlemmar: ni får spara längre om det finns ett lagligt syfte – bokföringslagen kräver till exempel sju år för ekonomiska underlag
- Fotografier: här bör ni vara försiktigare. En bild av ett åttaårigt barn är svår att motivera att fortfarande ha uppe tio år senare – två år är en rimlig tumregel
- Känslig hälsodata: radera direkt när träningen eller lägret är över, det finns ingen bokföringsmässig anledning att spara den längre
Många föreningar landar i en enkel princip: "Vi tar bort all data om barn som inte varit medlemmar på två år, utom ekonomiska underlag som styrs av bokföringslagen." Det är en försiktig och ofta hållbar linje – men stäm gärna av med er bokförare eller revisor så den passar just er verksamhet.
Ett digitalt medlemsregister gör en hel del av jobbet åt dig
Det går fullt ut att sköta GDPR med pärmar och Excel-ark. Men det är tidsödande, och det är lätt hänt att en rad glöms bort eller en gammal fil ligger kvar på någons privata dator. Ett digitalt medlemsregister tar hand om mycket av detta automatiskt, och minskar risken för just den sortens misstag.
Vad ett bra system kan göra åt er
- Visa när samtycke gavs och exakt vad det gällde
- Logga vem som loggat in och när – ovärderligt om Integritetsskyddsmyndigheten någonsin frågar
- Påminna er när det är dags att radera en gammal medlemspost
- Göra det enkelt att hantera en begäran om radering
- Sköta kryptering, säkerhet och backup – i stället för en Excel-fil på någons bärbara dator
Med ett verktyg som Medlemsfaktura slipper ni sitta och manuellt gå igenom hundra medlemsposter för att hitta vilka som ska bort. Systemet hjälper er hålla ordning på vilka rättigheter som gäller för vilka uppgifter, vilket sparar tid, minskar risken för fel och ger er större trygghet i att ni faktiskt följer regelverket.
Vanliga frågor
Kan vi dela ett barns närvaro i en sluten Facebook-grupp för föräldrar?
Tekniskt går det, om ni har samtycke för det. Men fråga er själva: behöver den datan verkligen ligga på Facebooks servrar? Ett eget medlemsregister är ofta både säkrare och lättare att ha kontroll över.
Vad gör vi om en förälder drar tillbaka sitt samtycke i efterhand?
Ni måste sluta behandla uppgifterna framåt i tiden. Redan lagrad data kan ni ofta ändå behålla om det finns ett annat rättsligt stöd, till exempel bokföringslagen. Det här är lite av en gråzon, så tveka inte att fråga en jurist om ni är osäkra.
Räknas närvaro och meddelanden i en träningsgrupp på Telegram som personuppgifter?
Ja, absolut. Varje namn, varje närvaroanteckning, varje meddelande räknas. Se till att gruppen har ett tydligt syfte och att ingen data sprids vidare okontrollerat.
Hur länge får vi spara foton från medlemsträningar?
Två år är en rimlig tumregel för publicerade bilder, längre bara om det finns ett särskilt motiverat syfte. Radera alltid originalen när ändamålet är uppfyllt.
« Tillbaka till bloggen eller läs fler guider för föreningar.