Den 25 maj 2018 började en ny lag om personuppgifter gälla för hela EU (eng. GDPR, General Data Protection Regulation). Här har vi försökt samla och klargöra det vi vet idag utifrån föreningens perspektiv. Innehållet är förenklat och förkortat. Målet är inte att ge en heltäckande bild av dataskyddsförordningen, utan att fokusera på det viktigaste och hur det påverkar lokalföreningen i Equmenia. På equmeniakyrkan.se finns motsvarande information för församlingar. Båda sidorna uppdateras löpande allt eftersom information tillkommer.
Vad innebär den nya dataskyddsförordningen?
Syftet är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.
Både lokalföreningen och Equmenia nationellt måste definiera tydligt varför och hur vi hanterar personuppgifter. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs eller inte är relevanta för verksamheten. Det måste vara tydligt för den vi behandlar uppgifter om; att vi gör det, vilka uppgifter vi behandlar, varför samt vilka rättigheter personen har gentemot den som hanterar uppgifterna.
Myndigheten Integritetsskyddsmyndigheten har större möjlighet för tillsyn och kan utdöma sanktioner och högre viten än tidigare. Den nya lagen beskriver också hur exempelvis stölder av personuppgifter eller intrång i register måste anmälas.
Informera mer, spara mindre – de viktigaste principerna
- Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt, ändamål.
- Spara inte uppgifter längre än nödvändigt.
- Skydda de personuppgifter ni hanterar i föreningen.
Mer än bara Arken
Medlemsregistret Arken är vårt system för hantering av personuppgifter i Equmenia, och vi jobbar tillsammans med Equmeniakyrkan för att allt som hanteras i och av Arken ska följa dataskyddsförordningen.
Däremot är det viktigt att komma ihåg att förordningen omfattar all hantering och lagring av personuppgifter, även utanför Arken. Det kan till exempel vara medlemslappar, lägeranmälningar, medlemslistan i pärmen, protokoll, hemsida, mail, molntjänster osv. Här tillkommer också personuppgifter som i förordningen betraktas som känsliga eller särskilt skyddsvärda och därmed ställer högre krav, som uppgifter om hälsa och allergi, personnummer, skyddade identiteter mm.
Församling och samarbetsorganisationer
Mycket av lokal hantering och lagring av personuppgifter görs i nära samverkan med församlingen och vi rekommenderar starkt att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma arbetssätt och rutiner och underlätta för alla i verksamheten att veta vad som gäller.
Om ni samlar in personuppgifter för att rapportera till andra, tex kommun eller studieförbund, omfattas även det. Hör av er direkt till dem för att höra hur de förhåller sig till dataskyddsförordningen och vilka nya regler eller rutiner som gäller för just ert samarbete.
Checklista för föreningen
Det här är fem grundläggande frågor att ställa i föreningen när ni arbetar med dataskyddsförordningen och hur er förening förhåller sig till den. Styrelsen i en förening ansvarar för att lagen följs men fundera på om ni kan utse en person eller arbetsgrupp som leder arbetet, gärna i samråd med församlingen. Under några av frågorna finns dokument att ladda ner som stöd i ert arbete. Längre ner finns förslag på blanketter och informationsblad. Vi jobbar på att ta fram mer. Är det nåt särskilt ni behöver, berätta gärna för oss.
Hur ser det ut idag?
Vilka samlar in personuppgifter och hur? Vilka sköter Arken och andra register? Vilka personuppgifter behandlar vi? I vilka andra system och register behandlar vi dessa personuppgifter och på vilken laglig grund? Hur avgör vi vilka uppgifter vi behöver samla in? Behöver vi uppdatera information, utskick eller material till medlemmar och allmänhet? Dokument för nedladdning:
Vilka risker finns?
Vilken typ av uppgift har störst risk att leda till skador eller kränkningar för individen om de sprids? Vilken av sätten att behandla uppgifter vi använder idag bär störst risker för att misslyckas med att leva upp till kraven? Börja arbeta med dessa först.
Vad får vi inte hantera eller spara?
Samlar vi in uppgifter idag som vi får samla in? Ligger information och skräpar eller sparar vi på uppgifter som inte behövs längre? Vad behöver arkiveras? Om ni inte längre har berättigat ändamål eller lagstöd ska uppgifter raderas. Uppgifter som behöver sparas men inte behövs för daglig verksamhet ska arkiveras.
Vilken målsättning har vi?
Sätt mål för hur ni ska behandla personuppgifter genom t.ex. instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallra personuppgifter. Det är också bra att ta fram rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm. Detta kan samlas ihop till en integritetspolicy eller liknande. Dokument för nedladdning:
Hur ska det göras och av vem?
Se över system för att säkerställa att en målsättning/policy ni sätter följs och att åtgärder ni bestämt blir gjorda. Dokumentera arbetet så att ni både själva och för Datainspektionen kan visa vad ni har gjort och vill göra. Viktigt att komma ihåg att också utbilda ledare och ev. anställda i hur personuppgifter ska hanteras.
Mallar för blanketter och informationsblad
Dessa är förslag från Equmenia och kan anpassas utifrån er förening och verksamhet eller användas som dem är.
Informationsblad om hantering av personuppgifter. Sätt upp på anslagstavla, lämna framme att ta med sig hem och dela ut till den som frågar.
Medlemskap blankett. För insamling av uppgifter vid medlemskap. En framsida med information, en baksida med formulär.
Hälsouppgifter blankett. Särskild blankett för hälsouppgifter, som inte ska inkluderas i blanketten om medlemskap. Hanteras med extra försiktighet.
Samtycke för ledare och förtroendevalda. Särskilt samtycke för ledare och förtroendevalda, t.ex. för publicering av uppgifter och bilder på hemsida eller terminsblad, information om protokoll mm.
Tips på länkar för fördjupning
Integritetsskyddsmyndighetens hemsida
Scouternas sida om GDPR
Fortsättning följer
Under FAQ nedan kan ni hitta svar på vanliga frågor och mer detaljerad information. Vi kommer fylla på även den sidan löpande när nya frågor eller svar dyker upp.
Saknar ni något, eller har fler frågor, vänd er till info@equmenia.se. För diskussion med andra föreningar kan ni använda er av Facebook-gruppen Equmenia Forum.
Dataskyddsförordningen (på engelska General Data Protection Regulation eller GDPR) är den nya dataskyddslagstiftningen för EU och dess medlemsstater. Från och med 25 maj 2018 ersätter den vår tidigare nationella lagstiftning, personuppgiftslagen (PUL).
Syftet med dataskyddsförordningen är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.
Dataskyddsförordningen definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.
Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. Det är alltså mycket mer än vad en kanske först tror.
Equmenia och Equmeniakyrkan har en rättslig grund för att lagra personuppgifterna. Hur den ser ut och vad som gäller finns med som informationstext vid inskrivning av medlemsuppgifter. Om föreningen samlar in personuppgifter och själva matar in dem behöver den informationstexten ges till medlemmen och/eller vårdnadshavare vid insamlingen av uppgifterna. Mer information angående specifikt Arken kommer att publiceras framöver.
Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt. En utskriven lista omfattas av dataskyddsförordningen. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.
Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.
Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under dataskyddsförordningen som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang.
Vi rekommenderar att ni inhämtar samtycke från vårdnadshavaren i samband med att de anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang. Detta gäller framför allt uppgifter som klassas som känsliga hälsouppgifter.
Ja. Alla personuppgifter omfattas av dataskyddsförordningen och behöver hanteras därefter. Då omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Arken, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.
Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din förenings ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.
Ett förslag är att ni i en policy eller liknande skriver hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är särskilt känsliga, t.ex. personnummer, och måste hanteras med extra försiktighet.
Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.
Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och hens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på kårens hemsida).
En bild på en person omfattas av GDPR om personen är identifierbar. Om en person gett samtycke till att vara med på bild så är det helt okej att publicera den bilden. Så ni behöver inte sluta att publicera bilder på människor och ansikten. Er församling och förening består ju av människor och då är det bra att er kommunikation speglar er gemenskap.
Ett samtycke kan ges muntligt eller skriftligt men skriftligt är lättare att bevisa. Lättast när man fotograferar i församlingen och föreningen är ju att fokusera på de man redan känner och som är lättast att fråga och som man anar är okej med att synas på bild. Ett annat tips är att deltagarna (och ev. målsmän om de är unga) redan vid anmälan anger om det går bra att vara med på bild eller inte.
Istället för samtycke går det också att använda den rättsliga grunden intresseavvägning. Detta kan vara en bra metod på ett event med väldigt många människor där det är svårt att få samtycke från alla.
Då behöver ni ange att det kommer att fotograferas och bilderna kommer att användas/publiceras med stöd av den rättsliga grunden ”Intresseavvägning”.
- Deltagarna har rätt att invända mot fotograferingen på plats.
- Deltagarna har rätt att i efterhand invända mot en bildpublicering. Deltagare behöver då meddela vilken bild som ska tas bort.
Oavsett vad lagar och regler säger kan det vara bra att vara extra försiktig. Vi vill ju inte att någon ska känna sig obekväm eller osäker i våra sammanhang. När det gäller religösa sammanhang och också barn och unga är det extra viktigt att tänka på vad man publicerar.
Vid de tillfällen det inte fungerar att publicera ansikten kan man fotografera närbilder på tex händer som visar en aktivitet, eller bakifrån eller fotografera på långt avstånd.
Generellt är svaret ”nej” när det gäller personer som ej längre är medlemmar. Dessa saknar vi laglig rätt till att databehandla. I de fall där de fortfarande är medlemmar går bra, men då finns dessa redan som aktiva medlemmar i medlemsregistret.Ni kan också be om ledarnas samtycke för att ha kvar deras uppgifter på hemsidan. Det är då viktigt att samtycket dokumenteras skriftligt, och att det är informerat (de vet vad de går med på) och frivilligt. Att samtycket är frivilligt innebär att det inte får innebära några negativa konsekvenser att inte samtycka. Det går också att när som helst återkalla ett samtycke, och uppgifterna ska då tas bort.
Om föreningen använder ett system som inte tillhandahålls av Equmenia, ansvarar ni själva för att dataskyddsförordningen följs. Det innebär t.ex. att föreningen måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.Om föreningen satt ändamålen med behandling av personuppgifter, dvs. de bestämmer när och hur personuppgifter får behandlas, är det föreningen som ansvarar för att behandlingen uppfyller kraven i dataskyddsförordningen.