Den 25 maj 2018 började en ny lag om personuppgifter gälla för hela EU. Den nya dataskyddsförordningen, (eng. GDPR, General Data Protection Regulation) ersatte personuppgiftslagen PUL från 1998 och har lite högre krav, anpassningar för en digitaliserad värld, och högre viten än tidigare om lagen inte följs.
Här har vi försökt samla och klargöra det vi vet idag utifrån föreningens perspektiv. Innehållet är förenklat och förkortat. Målet är inte att ge en heltäckande bild av dataskyddsförordningen, utan att fokusera på det viktigaste och hur det påverkar lokalföreningen i Equmenia. På equmeniakyrkan.se finns motsvarande information för församlingar. Båda sidorna uppdateras löpande allt eftersom information tillkommer.
Vad innebär den nya dataskyddsförordningen?
Syftet är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter. Mycket påminner om tidigare PUL men i några väsentliga delar är kraven högre, och undantag som fanns i PUL för “ostrukturerad data” (missbruksregeln) gäller inte längre. Med ostrukturerad data menas bland annat löpande text, enklare listor, bilder och filmer, protokoll och e-post.
Både lokalföreningen och Equmenia nationellt måste definiera tydligare varför och hur vi hanterar personuppgifter. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för eller inte är relevanta för verksamheten. Det måste vara tydligt för den vi behandlar uppgifter om; att vi gör det, vilka uppgifter vi behandlar, varför samt vilka rättigheter hen har gentemot den som hanterar uppgifterna.
Myndigheten Datainspektionen har större möjlighet för tillsyn och kan utdöma sanktioner och högre viten än tidigare. Den nya lagen beskriver också hur exempelvis stölder av personuppgifter eller intrång i register måste anmälas.
Informera mer, spara mindre – de viktigaste principerna
- Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt, ändamål.
- Spara inte uppgifter längre än nödvändigt.
- Skydda de personuppgifter ni hanterar i föreningen.
Mer än bara Repet
Medlemsregistret Repet är det enskilt största systemet för hantering av personuppgifter i Equmenia, och vi jobbar tillsammans med Equmeniakyrkan för att allt som hanteras i och av Repet ska följa dataskyddsförordningen.
Däremot är det viktigt att komma ihåg att förordningen omfattar all hantering och lagring av personuppgifter, även utanför Repet. Det kan till exempel vara medlemslappar, lägeranmälningar, medlemslistan i pärmen, protokoll, hemsida, mail, molntjänster osv. Här tillkommer också personuppgifter som i förordningen betraktas som känsliga eller särskilt skyddsvärda och därmed ställer högre krav, som uppgifter om hälsa och allergi, personnummer, skyddade identiteter samt uppgifter om barn under en viss ålder (som regeringen inte fastställt än).
Församling och samarbetsorganisationer
Mycket av lokal hantering och lagring av personuppgifter görs i nära samverkan med församlingen och vi rekommenderar starkt att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma arbetssätt och rutiner och underlätta för alla i verksamheten att veta vad som gäller.
Om ni samlar in personuppgifter för att rapportera till andra, tex kommun eller studieförbund, omfattas även det. Hör av er direkt till dem för att höra hur de anpassar sig till dataskyddsförordningen och vilka nya regler eller rutiner som gäller för just ert samarbete.
Checklista för föreningen
Det här är fem grundläggande frågor att ställa i föreningen när ni börjar att arbeta med dataskyddsförordningen och hur er förening förhåller sig till den. Styrelsen i en förening ansvarar för att lagen följs men fundera på om ni kan utse en person eller arbetsgrupp som leder arbetet, gärna i samråd med församlingen. Under några av frågorna finns dokument att ladda ner som stöd i ert arbete. Längre ner finns förslag på blanketter och informationsblad. Vi jobbar på att ta fram mer. Är det nåt särskilt ni behöver, berätta gärna för oss.
Hur ser det ut idag?
Vilka samlar in personuppgifter och hur? Vilka sköter Repet och andra register? Vilka personuppgifter behandlar vi? I vilka andra system och register behandlar vi dessa personuppgifter och på vilken laglig grund? Hur avgör vi vilka uppgifter vi behöver samla in? Behöver vi uppdatera information, utskick eller material till medlemmar och allmänhet? Dokument för nedladdning:
Vilka risker finns?
Vilken typ av uppgift har störst risk att leda till skador eller kränkningar för individen om de sprids? Vilken av sätten att behandla uppgifter vi använder idag bär störst risker för att misslyckas med att leva upp till kraven? Börja arbeta med dessa först.
Vad får vi inte längre hantera eller spara?
Samlar vi in uppgifter idag som vi inte längre får samla in? Ligger information och skräpar eller sparar vi på uppgifter som inte behövs längre? Vad behöver arkiveras? Om ni inte längre har berättigat ändamål eller lagstöd ska uppgifter raderas. Uppgifter som behöver sparas men inte behövs för daglig verksamhet ska arkiveras.
Vilken målsättning har vi?
Sätt mål för hur ni ska behandla personuppgifter genom t.ex. instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallra personuppgifter. Det är också bra att ta fram rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm. Detta kan samlas ihop till en integritetspolicy eller liknande. Dokument för nedladdning:
Hur ska det göras och av vem?
Se över system för att säkerställa att en målsättning/policy ni sätter följs och att åtgärder ni bestämt blir gjorda. Dokumentera arbetet så att ni både själva och för Datainspektionen kan visa vad ni har gjort och vill göra. Viktigt att komma ihåg att också utbilda ledare och ev. anställda i hur personuppgifter ska hanteras.
Mallar för blanketter och informationsblad
Dessa är förslag från Equmenia och kan anpassas utifrån er förening och verksamhet eller användas som dem är.
Informationsblad om hantering av personuppgifter. Sätt upp på anslagstavla, lämna framme att ta med sig hem och dela ut till den som frågar.
Medlemskap blankett. För insamling av uppgifter vid medlemskap. En framsida med information, en baksida med formulär.
Hälsouppgifter blankett. Särskild blankett för hälsouppgifter, som inte ska inkluderas i blanketten om medlemskap. Hanteras med extra försiktighet.
Samtycke för ledare och förtroendevalda. Särskilt samtycke för ledare och förtroendevalda, t.ex. för publicering av uppgifter och bilder på hemsida eller terminsblad, information om protokoll mm.
Tips på länkar för fördjupning
Dataskyddsförordningens hemsida
Scouternas sida om GDPR
Fortsättning följer
Equmenia kommer att ta fram stöd i form av mallar för insamling av personuppgifter, informationstexter, förslag på olika arbetssätt och rutiner, exempel på samtyckestexter för anmälan till läger och arrangemang osv. Detta kommer att läggas upp här efterhand.
Under FAQ nedan kan ni hitta svar på vanliga frågor och mer detaljerad information. Vi kommer fylla på även den sidan löpande när nya frågor eller svar dyker upp.
Saknar ni något, eller har fler frågor, vänd er till info@equmenia.se. För diskussion med andra föreningar kan ni använda er av Facebook-gruppen Equmenia Forum.
Dataskyddsförordningen (på engelska General Data Protection Regulation eller GDPR) är den nya dataskyddslagstiftningen för EU och dess medlemsstater. Från och med 25 maj 2018 ersätter den vår tidigare nationella lagstiftning, personuppgiftslagen (PUL).
Syftet med dataskyddsförordningen är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.
Dataskyddsförordningen definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.
Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. Det är alltså mycket mer än vad en kanske först tror.
När det gäller ”Samtycke” som rättslig grund för databehandling, ställer dataskyddsförordningen högre krav på hur det är utformat.
Under PUL (Personuppgiftslagen som den här lagen ersätter) fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln”, har tagits bort och även material i ostrukturerad form omfattas av dataskyddsförordningen.
Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.
Equmenia och Equmeniakyrkan har en rättslig grund för att lagra personuppgifterna. Hur den ser ut och vad som gäller kommer att finnas med som informationstext vid inskrivning av medlemsuppgifter. Om kåren samlar in personuppgifter och själva matar in dem behöver den informationstexten ges till medlemmen och/eller vårdnadshavare vid insamlingen av uppgifterna. Mer information angående specifikt Repet kommer att publiceras framöver.
Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt. En utskriven lista omfattas av dataskyddsförordningen. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.
Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.
Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under dataskyddsförordningen som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang.
Vi rekommenderar att ni inhämtar samtycke från vårdnadshavaren i samband med att de anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang. Detta gäller framför allt uppgifter som klassas som känsliga hälsouppgifter.
Ja. Alla personuppgifter omfattas av dataskyddsförordningen och behöver hanteras därefter. Då omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Repet, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.
Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din förenings ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.
Ett förslag är att ni i en policy eller liknande skriver hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är särskilt känsliga, t.ex. personnummer, och måste hanteras med extra försiktighet.
Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.
Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och hens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på kårens hemsida).
Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av dataskyddsförordningen. Det är bäst att ni inhämtar samtycke från vårdnadshavaren till att få publicera bilderna.
Generellt är svaret ”nej” när det gäller personer som ej längre är medlemmar. Dessa saknar vi laglig rätt till att databehandla. I de fall där de fortfarande är medlemmar går bra, men då finns dessa redan som aktiva medlemmar i medlemsregistret.Ni kan också be om ledarnas samtycke för att ha kvar deras uppgifter på hemsidan. Det är då viktigt att samtycket dokumenteras skriftligt, och att det är informerat (de vet vad de går med på) och frivilligt. Att samtycket är frivilligt innebär att det inte får innebära några negativa konsekvenser att inte samtycka. Det går också att när som helst återkalla ett samtycke, och uppgifterna ska då tas bort.
Om föreningen använder ett system som inte tillhandahålls av Equmenia, ansvarar ni själva för att dataskyddsförordningen följs. Det innebär t.ex. att föreningen måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.Om föreningen satt ändamålen med behandling av personuppgifter, dvs. de bestämmer när och hur personuppgifter får behandlas, är det föreningen som ansvarar för att behandlingen uppfyller kraven i dataskyddsförordningen.
