Publicerat 

GDPR

Dataskyddsförordningen

Senast uppdaterad 2018 05 21

 

Den 25 maj kommer en ny lag om personuppgifter att träda i kraft i hela EU. Den nya dataskyddsförordningen, (eng. GDPR, General Data Protection Regulation) ersätter personuppgiftslagen PUL från 1998 och h,ed lite högre krav, anpassningar för en digitaliserad värld, och högre viten än tidigare om lagen inte följs.

 

Eftersom lagen är ny och vägledningar till hur lagen ska tillämpas inte är klara, är det svårt att veta hur lagen ska tolkas. Detta gäller särskilt ideella föreningar och svensk folkrörelse. Men föreningen ska följa dataskyddsförordningen den 25 maj och därefter fortsätter arbetet med att tillämpa lagen.

 

Här har vi försökt samla och klargöra det vi vet idag utifrån föreningens perspektiv. Innehållet är förenklat och förkortat. Målet är inte att ge en heltäckande bild av dataskyddsförordningen, utan att fokusera på det viktigaste och hur det påverkar lokalföreningen i Equmenia. På equmeniakyrkan.se finns motsvarande information för församlingar. Båda sidorna uppdateras löpande allt eftersom information tillkommer.

 

Vad innebär den nya dataskyddsförordningen?

Syftet är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter. Mycket påminner om tidigare PUL men i några väsentliga delar är kraven högre, och undantag som fanns i PUL för “ostrukturerad data” (missbruksregeln) gäller inte längre. Med ostrukturerad data menas bland annat löpande text, enklare listor, bilder och filmer, protokoll och e-post.

 

Både lokalföreningen och Equmenia nationellt måste definiera tydligare varför och hur vi hanterar personuppgifter. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för eller inte är relevanta för verksamheten. Det måste vara tydligt för den vi behandlar uppgifter om; att vi gör det, vilka uppgifter vi behandlar, varför samt vilka rättigheter hen har gentemot den som hanterar uppgifterna.

 

Myndigheten Datainspektionen har större möjlighet för tillsyn och kan utdöma sanktioner och högre viten än tidigare. Den nya lagen beskriver också hur exempelvis stölder av personuppgifter eller intrång i register måste anmälas.

 

Informera mer, spara mindre – de viktigaste principerna

Lagtexten innehåller en lång rad regler och krav för hur personuppgifter får hanteras i en organisation. Dessa ger dock inte särskilt mycket vägledning hur vi som ideell förening bäst behandlar personuppgifter om medlemmar, deltagare, ledare, anhöriga och andra, i eller nära vår verksamhet. Dessutom saknas fortfarande vägledning, tillämpning och praxis för sådant som är säreget för ideella föreningar och svenskt föreningsliv. Det gör att många frågor ännu är obesvarade och förväntningarna på ideella föreningar måste motsvara de förutsättningarna.

 

För att ändå kunna ta sig an alla dessa regler, skäl och annan juridisk text i förordningen kan vi sammanfatta det i några grundläggande principer:

  • Samla in och hantera personuppgifter endast om det uppfyller villkoren i lagen.
  • Bestäm i förväg vad personuppgifterna ska användas till och använd inte uppgifterna för något annat ändamål.
  • Informera de personer vars uppgifter ni samlar in, vad uppgifterna ska användas till och att de har rättigheter till sina egna uppgifter.
  • Samla inte in fler personuppgifter än vad som behövs. Samla aldrig in personuppgifter därför att det kan vara ”bra att ha”.
  • Se till att personuppgifterna är korrekta och uppdaterade.
  • Radera personuppgifter som inte längre behövs.
  • Skydda uppgifterna från otillåten användning och obehörig åtkomst.
  • Skriv ner hur ni i föreningen har tänkt i er hantering av personuppgifter.

 

Om vi förenklar dessa grundläggande principer ännu lite till, så kommer ni långt genom att bara tänka på de här tre punkterna:

  • Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt, ändamål.
  • Spara inte uppgifter längre än nödvändigt.
  • Skydda de personuppgifter ni hanterar i föreningen.

 

Mer än bara Repet

Medlemsregistret Repet är det enskilt största systemet för hantering av personuppgifter i Equmenia, och vi jobbar tillsammans med Equmeniakyrkan för att allt som hanteras i och av Repet ska följa dataskyddsförordningen.

 

Däremot är det viktigt att komma ihåg att förordningen omfattar all hantering och lagring av personuppgifter, även utanför Repet. Det kan till exempel vara medlemslappar, lägeranmälningar, medlemslistan i pärmen, protokoll, hemsida, mail, molntjänster osv. Här tillkommer också personuppgifter som i förordningen betraktas som känsliga eller särskilt skyddsvärda och därmed ställer högre krav, som uppgifter om hälsa och allergi, personnummer, skyddade identiteter samt uppgifter om barn under en viss ålder (som regeringen inte fastställt än).

 

Församling och samarbetsorganisationer

Mycket av lokal hantering och lagring av personuppgifter görs i nära samverkan med församlingen och vi rekommenderar starkt att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma arbetssätt och rutiner och underlätta för alla i verksamheten att veta vad som gäller.

 

Om ni samlar in personuppgifter för att rapportera till andra, tex kommun eller studieförbund, omfattas även det. Hör av er direkt till dem för att höra hur de anpassar sig till dataskyddsförordningen och vilka nya regler eller rutiner som gäller för just ert samarbete.

Checklista för föreningen

Det här är fem grundläggande frågor att ställa i föreningen när ni börjar att arbeta med dataskyddsförordningen och hur er förening förhåller sig till den. Styrelsen i en förening ansvarar för att lagen följs men fundera på om ni kan utse en person eller arbetsgrupp som leder arbetet, gärna i samråd med församlingen.

 

Under några av frågorna finns dokument att ladda ner som stöd i ert arbete. Vi jobbar på att ta fram mer.

 

Hur ser det ut idag?

Vilka samlar in personuppgifter och hur? Vilka sköter Repet och andra register? Vilka personuppgifter behandlar vi? I vilka andra system och register behandlar vi dessa personuppgifter och på vilken laglig grund? Hur avgör vi vilka uppgifter vi behöver samla in? Behöver vi uppdatera information, utskick eller material till medlemmar och allmänhet?

 

Dokument för nedladdning:
Instruktioner till inventeringen av församling och förening (Word)
Förslag inventeringsmall Dataskyddsförordningen (Excel)

 

Vilka risker finns?

Vilken typ av uppgift har störst risk att leda till skador eller kränkningar för individen om de sprids? Vilken av sätten att behandla uppgifter vi använder idag bär störst risker för att misslyckas med att leva upp till kraven? Börja arbeta med dessa först.

 

Vad får vi inte längre hantera eller spara?

Samlar vi in uppgifter idag som vi inte längre får samla in? Ligger information och skräpar eller sparar vi på uppgifter som inte behövs längre? Vad behöver arkiveras?

Om ni inte längre har berättigat ändamål eller lagstöd ska uppgifter raderas. Uppgifter som behöver sparas men inte behövs för daglig verksamhet ska arkiveras.

 

Vilken målsättning har vi?

Sätt mål för hur ni ska behandla personuppgifter genom t.ex. instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallra personuppgifter. Det är också bra att ta fram rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm. Detta kan samlas ihop till en integritetspolicy eller liknande.

 

Dokument för nedladdning:
Skyddspolicy gällande personuppgifter (Word)

 

Hur ska det göras och av vem?

Se över system för att säkerställa att en målsättning/policy ni sätter följs och att åtgärder ni bestämt blir gjorda. Dokumentera arbetet så att ni både själva och för Datainspektionen kan visa vad ni har gjort och vill göra. Viktigt att komma ihåg att också utbilda ledare och ev. anställda i hur personuppgifter ska hanteras.

 

Tips på länkar för fördjupning

Dataskyddsförordningens hemsida

Scouternas sida om GDPR

Fortsättning följer

Equmenia kommer att ta fram stöd i form av mallar för insamling av personuppgifter, informationstexter, förslag på olika arbetssätt och rutiner, exempel på samtyckestexter för anmälan till läger och arrangemang osv. Detta kommer att läggas upp här efterhand.

 

Under FAQ nedan kan ni hitta svar på vanliga frågor och mer detaljerad information. Vi kommer fylla på även den sidan löpande när nya frågor eller svar dyker upp.

 

Saknar ni något, eller har fler frågor, vänd er till info@equmenia.se. För diskussion med andra föreningar kan ni använda er av Facebook-gruppen Equmenia Forum.

Frågor och svar

Vad är GDPR?

Dataskyddsförordningen (på engelska General Data Protection Regulation eller GDPR) är den nya dataskyddslagstiftningen för EU och dess medlemsstater. Från och med 25 maj 2018 ersätter den vår tidigare nationella lagstiftning, personuppgiftslagen (PUL).

Syftet med dataskyddsförordningen är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.

Vad är en personuppgift?

Dataskyddsförordningen definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

 

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. Det är alltså mycket mer än vad en kanske först tror.

Vad är skillnaden mot PUL?

När det gäller ”Samtycke” som rättslig grund för databehandling, ställer dataskyddsförordningen högre krav på hur det är utformat.

Under PUL (Personuppgiftslagen som den här lagen ersätter) fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln”, har tagits bort och även material i ostrukturerad form omfattas av dataskyddsförordningen.

Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Kommer Repet att vara godkänt?
Equmenia och Equmeniakyrkan har en rättslig grund för att lagra personuppgifterna. Hur den ser ut och vad som gäller kommer att finnas med som informationstext vid inskrivning av medlemsuppgifter. Om kåren samlar in personuppgifter och själva matar in dem behöver den informationstexten ges till medlemmen och/eller vårdnadshavare vid insamlingen av uppgifterna. Mer information angående specifikt Repet kommer att publiceras framöver.
Får jag som ledare ha en utskriven deltagarlista i en pärm?

Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av dataskyddsförordningen. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.

Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.

Hur kan vi göra med anmälningar till läger och andra arrangemang?

Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under dataskyddsförordningen som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang.

Vi rekommenderar att ni inhämtar samtycke från vårdnadshavaren i samband med att de anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang. Detta gäller framför allt uppgifter som klassas som känsliga hälsouppgifter.

Om en förälder mejlar mig med barnets personuppgifter – omfattas det av Dataskyddslagstiftningen?

Ja. Alla personuppgifter omfattas av dataskyddsförordningen och behöver hanteras därefter. Då omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Repet, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.

Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din förenings ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.

Ett förslag är att ni i en policy eller liknande skriver hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är särskilt känsliga, t.ex. personnummer, och måste hanteras med extra försiktighet.

Kommunen ställer krav på att vi behöver skicka in närvarolistor – hur gör vi med dem?

Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.

På vår hemsida publiceras ledare med namn, bild och kontaktuppgifter – hur gör vi med det?
Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och hens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på kårens hemsida).
På vår hemsida och i reklamfoldrar för verksamheten använder vi bilder på barn från verksamheten – måste vi radera dessa?

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av dataskyddsförordningen. Det är bäst att ni inhämtar samtycke från vårdnadshavaren till att få publicera bilderna.

Vi har en lista över alla som har varit ledare hos oss genom historien, kan vi ha kvar den?

Generellt är svaret ”nej” när det gäller personer som ej längre är medlemmar. Dessa saknar vi laglig rätt till att databehandla. I de fall där de fortfarande är medlemmar går bra, men då finns dessa redan som aktiva medlemmar i medlemsregistret.Ni kan också be om ledarnas samtycke för att ha kvar deras uppgifter på hemsidan. Det är då viktigt att samtycket dokumenteras skriftligt, och att det är informerat (de vet vad de går med på) och frivilligt. Att samtycket är frivilligt innebär att det inte får innebära några negativa konsekvenser att inte samtycka. Det går också att när som helst återkalla ett samtycke, och uppgifterna ska då tas bort.

Vi använder ett medlemsregister som vi inte har fått från Equmenia – hur gör vi med det?

Om föreningen använder ett system som inte tillhandahålls av Equmenia, ansvarar ni själva för att dataskyddsförordningen följs. Det innebär t.ex. att föreningen måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.Om föreningen satt ändamålen med behandling av personuppgifter, dvs. de bestämmer när och hur personuppgifter får behandlas, är det föreningen som ansvarar för att behandlingen uppfyller kraven i dataskyddsförordningen.