GDPR, dataskyddsförordningen, innebär en ny utgångspunkt vad gäller hantering av personuppgifter. Det finns väldigt mycket mer detaljer och saker att förhålla sig till i förordningen än det som tas upp här. Det här inlägget gör inget anspråk på att vara heltäckande inom ämnet utan ger förhoppningsvis lite bakgrund och visar vart arbetet kan börja.
Vad är gdpr
GDPR, The General Data Protection Regulation eller dataskyddsförordningen som det heter på svenska, finns till för att värna om och för att skydda din integritet och dina personuppgifter. GDPR gäller för hela EU, samma regler gäller för alla branscher, företag och organisationer som hanterar personuppgifter inom EU. Denna nya lag trädde i kraft den 25 maj 2018.
Vad du behöver veta
Det första du behöver veta om GDPR, oavsett om du är företagare eller verksam i en förening, är vad som definieras som en personuppgift. Det som också är hela kärnan kring regelringen är att du själv som privatperson äger din egna personuppgifter.
En personuppgift definieras enligt regleringen enligt följande: En personuppgift är information som kan knytas till och identifiera en fysisk person som är i livet.
Exempel på personuppgifter:
- Namn.
- Adress och e-postadress.
- Telefonnummer.
- Personnummer.
- Foton.
Det andra du behöver veta är vad behandling av en personuppgift är. En behandling av en personuppgift kan t.ex. vara något av följande:
- En insamling av personuppgifter.
- Ett register, eller om personuppgifterna lagras på något sätt (pärm, molntjänst).
- Utlämnande av personuppgifter.
En tredje sak du behöver veta om GDPR är att det är du som juridisk person som är ansvarig över personuppgifterna som behandlas. Tillsynsmyndighet som granskar och ev. bötfäller överträdelser är Datainspektionen.
Var börjar arbetet med GDPR för en förening?
Att följa GDPR fullt ut kan verka övermäktigt, men många gånger känns det enklare bara man vet vart man ska börja. Här kommer några tips på hur en förening kan börja arbetet med GDPR.
Förankring
Det är viktigt att alla medlemmar i styrelsen tar tills sig informationen om GDPR och blir införstådda med vad det innebär och vad som behöver göras. Alla bör förstå att det är ett kontinuerligt arbete och en ny utgångspunkt och tänkesätt över hur man hanterar personuppgifter.
Inventering
När styrelsens medlemmar har en grundläggande förståelse för GDPR och det kommande arbetet är väl förankrat går det lättare att genomföra nästa steg, inventering.
Genomför en kartläggning över hur föreningens personuppgifter:
- Hanteras
- Samlas in
- Delas ut
- Lagras
- Hur samtycke inhämtas
- Hur den registrerade informeras
Ta också reda på vilka personuppgifter som respektive register innehåller, och har vi mer information än vad som egentligen krävs?
Glöm heller inte att ta reda på när och hur olika personer har tillgång till insamlade personuppgifter, samt när och hur personuppgifter eventuellt delas med andra personer som inte tillhör föreningen, eller t.ex. andra föreningar eller företag.
Några exempel på lagring:
- Medlemsregister, finns i en pärm på kansliet samt digital i sekreterarens dator. Personuppgifter är namn, personnummer, adress, telefonnummer och mail.
- Närvaroregister, finns i en pärm på kansliet. Personuppgifter är namn och ev. närvaro.
Det finns inget rätt eller fel på exakt hur kartläggningen ska struktureras. Denna kartläggning/inventering kallas register över behandling och ska vara tillgängligt i elektroniskt format och hållas uppdaterat.
Enligt Datainspektionen ska registret innehålla:
- Namn och kontaktuppgifter till den personuppgiftsansvarige (oftast styrelsen).
- Varför ni behandlar personuppgifter.
- Vilka kategorier av personer och personuppgifter ni behandlar (till exempel uppgifter om medlemmar i en bostadsrättsförening och deras adress och telefonnummer).
- Externa mottagare av personuppgifterna och om ni för över uppgifter till ett tredjeland (land utanför EU/EES).
- Tidsfrister för radering, det vill säga hur länge uppgifterna sparas.
- Vilka säkerhetsåtgärder ni använder när ni behandlar personuppgifterna.
Samtycke eller avtal
Eftersom var och en äger sina egna personuppgifter behöver en behandling av personuppgifter ett godkännande. En laglig grund, som t.ex. ett samtycke eller medgivande i ett avtal. Detta ska också dokumenteras.
Har föreningen inget godkännande från den registrerade vars personuppgifter behandlas är personuppgifterna helt enkelt inte lagligt insamlade eller behandlade och ska raderas.
Rutiner
Arbetet som görs för att följa GDPR, efter inventeringen, mynnar ofta ut i ett antal rutiner eller processer. Rutiner för hur samtycke hämtas in och dokumenteras, hur registren lagras och så vidare.
Fler rutiner kan vara hur åtkomst till personuppgifter begränsas för avgående styrelsemedlemmar eller hur nya får tillgång. Hur föreningen hanterar en medlem som väljer att gå ur och hur nya system, listor eller register hanteras är också exempel på rutiner som behövs och som behöver dokumenteras.
Hur arbetet fortsätter
GDPR, dataskyddsförordningen, innehär en ny utgångspunkt vad gäller hantering av personuppgifter. Du har förhoppningsvis fått svar på en del frågor men troligen också fått än fler funderingar.
Det finns väldigt mycket mer detaljer och saker att förhålla sig till i förordningen än det som tas upp här. Det här inlägget gör som sagt inget anspråk på att vara heltäckande inom ämnet utan ger förhoppningsvis lite bakgrund och visar vart arbete kan börja.
Tänk på:
- Vad för personuppgifter behöver vi samla in och spara?
- Hur länge behöver vi dem?
- Har vi fått OK på att lagra dem?
- Vilka har åtkomst, hur delas dem?
- På vilket sätt lagras dem?
- Hur och när raderas dem?
Mer information och källor
Rekommenderade VPN-tjänster:
Topp 5 billigaste webbhotell: