Allmänt om GDPR

GDPR (General Data Protection Regulation) är EUs dataskyddsförordning som ersätter personuppgiftslagarna i medlemsländerna. Målet med förordningen är att säkra skyddet för personuppgifter och de registrerades rättigheter, att besvara nya dataskyddsfrågor relaterade till digitaliseringen och globaliseringen, att harmonisera regleringen av dataskyddet i alla EU-länder och att främja utvecklingen av en inre digital marknad.

I praktiken betyder det om GDPR efterföljs att var och en vet eller kan ta reda på vem som har vilka uppgifter om en och att man själv kan bestämma om vem som skall få spara uppgifter om en.

Förordningen trädde i kraft 25.5.2018, efter det måste all behandling av personuppgifter i EU ske i överensstämmelse med GDPR.

Vad föreningen bör göra

För en pensionärsförening är det viktigaste att följa reglerna men också dokumentera att man följer dem.

I er förening måste ni gå genom punkterna här nedanför och dokumentera dem. För många räcker det med att ha den här dokumentationen uppdaterad, att regelbundet se över den och introducera nya förtroendevalda i hur ni behandlar personuppgifter, men om ni upptäcker risker eller problem i er hantering av personuppgifter är det naturligtvis skäl att ändra hanteringen.

För att dokumentera hur ni hanterar personuppgifter i pensionärsföreningen kan ni följa anvisningarna här nedanför och ladda ner och fylla i mallarna, antingen utskrivna och ifyllda för hand eller elektroniskt ifyllda i Excel.

Det finns inga formella krav på dokumentationen och den behöver inte skickas in någonstans, utan den skall finnas tillhanda om myndigheterna frågar efter den. Ni kan alltså lika väl skriva dokumentationen i ert eget format.

De här anvisningarna är skrivna på basen av Dataombudsmannens byrås anvisningar https://tietosuoja.fi/sv/framsida. Svenska pensionärsförbundet ansvarar inte för att informationen eller mallarna här är kompletta och korrekta, men informationen uppdateras genast vid förändringar eller då ny information om lagen kommer till vår kännedom.

Arbetsgång

För att visa att ni i föreningen följer förordningen bör följande punkter ha beaktats:

  1. Styrelsen är insatt i förordningen
  2. Kartläggning av hanteringen av personuppgifter (nedan) är gjord
  3. Styrelsen har tagit del av kartläggningen och följer reglerna om hantering av personuppgifterna
  4. Denna kartläggning med åtföljande åtgärder bör regelbundet uppdateras
  5. Samtliga ansvarspersoner i föreningen bör vara informerade om hanteringen av personuppgifter jämte anmälningsplikt vid inträffad incident

Du kan ladda ner en mall för dokumentationen här, Excel-format som du kan redigera, PDF-format som du kan skriva ut som fylla i för hand.

Föreningens styrelse är personuppgiftsansvarig i föreningen, de (och de förtroendevalda) bör vara medvetna om den nya förordningen och vad den innebär (punkt 1). Ta upp det på ett styrelsemöte exempelvis genom att gå genom texten på den här webbsidan. Utse vem som går genom och kartlägger föreningens hantering av personuppgifter (men ni behöver inte utse en dataskyddsansvarig). Dokumentera genomgången (punkt 2) samt ta upp det på nästa styrelsemöte (punkt 3). Resultatet och den dokumentation som genomgången resulterar i sparas och uppdateras vid behov (punkt 4) som dokumentation på att er förening uppfyller förordningen.

Punkt 2 och 5 beskrivs och behandlas närmare i kapitlen nedan, för punkt 2 kan det antal formulär som behövs laddas ner och fyllas i.

Kartlägg vilka personuppgifter ni hanterar

Här beskrivs närmare hur ni kartlägger hanteringen av personuppgifter i er förening.

Som personuppgift räknas förutom namn, adress, telefonnr osv, också vilken som helst uppgift som kan användas för att identifiera en fysisk person. Ni måste gå genom er verksamhet och identifiera vilka sådana uppgifter ni hanterar och dokumentera dem.

Medlemsregistret behandlas mera i detalj nedan, men det är värt att notera att när det gäller medlemmars uppgifter som finns i registret och används för olika verksamhet inom föreningen, behöver inte varje användningsändamål dokumenteras sparat.

För varje typs hantering av personuppgifter måste ni ta ställning till följande:

  • Beskrivning, vem samlar in vilka uppgifter
  • Lagling grund, vilka uppgifter samlas in och finns det en laglig grund för behandling av de här personuppgifterna, dvs. behöver ni dem nödvändigtvis för den verksamhet det är frågan om
  • Insamling, hur samlas uppgifterna in 
  • Godkännande, godkänner personen att ni hanterar uppgifterna och har de informerats om hur de hanteras
  • Utlämning, till vem ni lämnar ut uppgifterna 
  • Lagring/radering, hur länge sparas uppgifterna och hur och när raderas de
  • Risker, bedöm vilka risker behandlingen av personuppgifter medför och hur de kan minimeras
  • Hur de registrerades rättigheter tillmötesgås, dvs. rätten att få tillgång till sina personuppgifter, få felaktiga personuppgifter rättade, få sina personuppgifter raderade, invända mot att personuppgifterna används för direktmarknadsföring

Typiska uppgifter som pensionärföreningar hanterar listas här nedanför, men ni skall kartlägga de uppgifter ni använder i er egen verksamhet och dokumentera dem. Om de uppgifter som behövs finns i sin helhet i medlemsregistret behövs som sagt inte nödvändigtvis en separat redovisning eftersom den redan beskrivs i samband med registret. Ett exempel är resor som enbart medlemmar deltar i, för dessa räcker beskrivningen av medlemregistret, men om också icke-medlemmar deltar i resan måste en skild dokumentation göras.

  • Anmälningslistor och deltagarförteckningar för resor och evenemang
  • Uppvaktningslistor med födelsedagar
  • Mötesprotokoll med personuppgifter
  • Uppgifter på webben och på Facebook, text och bilder
  • Medlemsregister beskrivs närmare nedan
  • ...

För var och en av dessa som ni identifierar i er förening kan ni skriva ert eget dokument eller fylla i mallen här i Excel (.xlsx) eller PDF (.pdf).

Exempel. Dokumentationen för anmälning till föreningens resor kan se ut på följande sätt då ni fyllt i dokumentationen:

 


Beskrivning: Anmälning till resa. Namn, Epost, Tel nr samlas in på papperslista, hanteras av reseledaren

 
  Dokumentation Kartlagt
Lagling grund: Ja, vi behöver namn, epost och telefonnummer för att veta vem som kommer och för att kunna kontakta dem. Specialdieter samlas in men antecknas enbart antal personer per diet. X
Insamling: Genom cirkulerande listor på möten och per telefon. X
Godkännande: Personerna har informerats om ändamålet med listan, de godkänner att uppgifterna hanteras genom att skriva namnet på listan. X
Utlämning: Enbart uppgift om antal resenärer lämnas till bussbolaget, det har därför inte säkerställts närmare. X
Lagring/radering: Namn och telefonnummer sparas högst till nästa år för att skicka ut information om nästa års resa, därefter raderas de genom att förstöra listan. X
Risker: Inga risker identifierade. X
Registrerades rättigheter: Görs på begäran och uppgifterna används inte till direktmarknadsföring. X

 

Åtgärder

I samband med kartläggningen kan ni upptäcka sådant som behöver åtgärdas, det kan typiskt vara sådant som beskrivs här.

Samla inte in onödiga uppgifter

Ifall ni i samband med kartläggningen identifierar sådana uppgifter som samlas in men inte är nödvändiga för verksamheten, är det bäst att åtgärda det genom att sluta samla in den informationen.

Exempel: Om ni inte skickar någonting per post till deltagarna på en resa är det onödigt att samla in den informationen. Om ni samlar in om specialdiet är det kanske inte nödvändigt att samla in annat än antal - tex. antal personer (men inte namn) med laktosintolerans för att meddela restaurangen. 

Informera tydligt hur ni hanterar uppgifterna

Det som i många fall behöver åtgärdas är att det tydligt framgå varför ni samlar in olika personuppgifter, hur ni förvarar dem och när ni raderar dem. Det här behöver skrivas in i de formulär och de blanketter ni använder för att samla in personuppgifter. För de föreningar som använder förbundets medlemsregister och har en "bli medlem"-sida läggs det här in automatiskt.

Identifiera risker

Granska kritiskt hanteringen och vilka risker som är förknippade med hanteringen, diskutera möjliga åtgärder och ändra processerna ifall det gör hanteringen säkrare.

Exempel: Om ni identifierar att en anmälningslista brukar skickas per epost (som i grunden och alltid är osäkert) kanske ni i fortsättningen räcker över listan personligen på ett möte, eller kanske det räcker med att meddela antal personer istället för att skicka hela listan med uppgifter.

Exempel: Om ni skickar ut epost till flera personer på en gång (tex. i samband med en resa) skall ni för epost-adresserna använda fältet "Hemlig kopia" (eng. Bcc) istället för det vanliga mottagarfältet. Annars ser mottagarna varandras adresser och ni kan då komma att lämna ut personuppgifter på ett sätt som personerna inte godkänt. Det här kan tyckas vara en detalj, men det har faktiskt gällt redan före GDPR. Läs mera här på Yles sidor. 

Förbjudna uppgifter

Förbjudna uppgifter, dvs sådana som inte alls får hanteras (samlas in, sparas osv), är uppgifter om ras eller etniskt ursprung, politisk övertygelse, religiös övertygelse, uppgifter om brott, sexuella inriktning, hälsotillstånd, handikapp, sjukdom osv.

Medlemsregister

Medlemsregistret är ofta det register där flest personuppgifter finns samlade, beroende på om föreningen använder förbundets register eller ett eget register krävs olika åtgärder:

  • Använder föreningen det medlemsregister som förbundet erbjuder kan du använda förbundets beskrivning här (https://spfpension.fi/sv/forbundet/styrdokument/personuppgiftshantering/). Då kan du vara säker på att det följer lagen. Dokumentationen kan då se ut så här (ändra vid behov): Excel (.xlsx) eller Pdf (.pdf).
  • Om föreningen använder ett eget register (inte gemensamma förbundets) måste ni själva se till att göra dokumentationen och fästa uppmärksamhet på att även följande saker kontrolleras och dokumenteras: 
    • Vem hanterar uppgifterna (personuppgiftsbiträde)
    • Vilka uppgifter finns i registret, behövs uppgifterna för verksamheten, hur känsliga uppgifter är det.

Om ni har formulär för att bli medlem på er webbplats eller på blankett skall ni där informera hur ni hanterar personuppgifterna och be om samtycke till det i formuläret, ni kan då göra det genom att länka till förbundets sida på: https://spfpension.fi/sv/forbundet/styrdokument/personuppgiftshantering/. Om ni använder ett eget register måste ni lägga in er egen beskrivning.

Anmäl incidenter

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Om man tex. misstänker att medlemsregistret eller någon annan lista har kommit i fel händer skall man anmäla det till inom 72 timmar. Lämpligen kontaktar man i föreningen vid ett sådant fall genast styrelsen, som i sin tur kontaktar dataombudsmannens byrå för närmare anvisningar: https://tietosuoja.fi/sv/framsida

 

Läs mer

Du kan läsa mer om dataskydd på föreningsresursens webbplats: https://www.foreningsresursen.fi/styrelsearbete/medlemsregister/behandling_av_personuppgifter/

och på Dataskyddsombudsmannens byrås webbplats: https://tietosuoja.fi/sv/framsida

ANNONSER