Allmänt om GDPR

GDPR (General Data Protection Regulation) är EUs nya dataskyddsförordning som ersätter personuppgiftslagarna i medlemsländerna. Målet med förordningen är att förbättra skyddet för personuppgifter och de registrerades rättigheter, att besvara nya dataskyddsfrågor relaterade till digitaliseringen och globaliseringen, att harmonisera regleringen av dataskyddet i alla EU-länder och att främja utvecklingen av en inre digital marknad.

I praktiken kommer det att betyda att var och en skall ha lättare att ta reda på vem som har vilka uppgifter om en och att själv kunna bestämma om vem som skall få spara uppgifter om en.

Förordningen trädde i kraft 25.5.2018, efter det måste all behandling av personuppgifter i EU ske i överensstämmelse med GDPR.

Vad föreningen bör göra inför förnyelsen

För en pensionärsförening är den viktigaste förändringen att man tidigare "bara" har behövt följa reglerna i personuppgiftslagen, men nu också måste dokumentera att man följer dem.

För att hantera personuppgifter enligt GDPR i er förening måste ni gå genom punkterna här nedanför och dokumentera dem. För många räcker det att dokumentera och arbetet kan fortsätta som vanligt, men om ni upptäcker risker eller problem i er hantering av personuppgifter är det naturligtvis skäl att ändra hanteringen.

För att dokumentera hur ni hanterar personuppgifter i pensionärsföreningen kan ni följa anvisningarna här nedanför och ladda ner och fylla i mallarna, antingen utskrivna och ifyllda för hand eller elektroniskt ifyllda i Excel.

Det finns inga formella krav på dokumentationen och den behöver inte skickas in någonstans, utan den skall finnas tillhanda om myndigheterna frågar efter den. Ni kan alltså lika väl skriva dokumentationen i ert eget format.

De här anvisningarna är skrivna på basen av Dataombudsmannens byrås anvisningar som du kan läsa här http://www.tietosuoja.fi/sv/index/euntietosuojauudistus.html. Svenska pensionärsförbundet ansvarar inte för att informationen eller mallarna här är kompletta och korrekta, men informationen uppdateras genast vid förändringar eller då ny information om lagen kommer till vår kännedom.

Den här sidan har uppdaterats:
23.5.2018 Med information om att resor enbart för medlemmar ingår i hantering av medlemsregister
1.6.2018 Med information om samtycke av nya medlemmar och information till nuvarande medlemmar
1.6.2018 Med information om förbundets beskrivning av personuppgiftshantering och hur den kan användas av föreningar

Arbetsgång

För att visa att ni i föreningen följer förordningen bör följande punkter ha beaktats:

  1. Styrelsen är insatt i den nya förordningen
  2. Kartläggning av hanteringen av personuppgifter (nedan) är gjord
  3. Styrelsen har tagit del av kartläggningen och följer reglerna om hantering av personuppgifterna
  4. Denna kartläggning med åtföljande åtgärder bör regelbundet uppdateras
  5. Samtliga ansvarspersoner i föreningen bör vara informerade om hanteringen av personuppgifter jämte anmälningsplikt vid inträffad incident

Du kan ladda ner en mall för dokumentationen här, Excel-format som du kan redigera, PDF-format som du kan skriva ut som fylla i för hand.

Föreningens styrelse är personuppgiftsansvarig i föreningen, de (och de förtroendevalda) bör vara medvetna om den nya förordningen och vad den innebär (punkt 1). Ta upp det på ett styrelsemöte exempelvis genom att gå genom texten på den här webbsidan. Utse vem som går genom och kartlägger föreningens hantering av personuppgifter (men ni behöver inte utse en dataskyddsansvarig). Dokumentera genomgången (punkt 2) samt ta upp det på nästa styrelsemöte (punkt 3). Resultatet och den dokumentation som genomgången resulterar i sparas och uppdateras vid behov (punkt 4) som dokumentation på att er förening uppfyller förordningen.

Punkt 2 och 5 beskrivs och behandlas närmare i kapitlen nedan, för punkt 2 kan det antal formulär som behövs laddas ner och fyllas i.

Kartlägg vilka personuppgifter ni hanterar

Här beskrivs närmare hur ni kartlägger hanteringen av personuppgifter i er förening.

Som personuppgift räknas förutom namn, adress, telefonnr osv, också vilken som helst uppgift som kan användas för att identifiera en fysisk person. Ni måste gå genom er verksamhet och identifiera vilka sådana uppgifter ni hanterar och dokumentera dem.

Medlemsregistret behandlas mera i detalj nedan, men det är värt att notera att när det gäller medlemmars uppgifter som finns i registret och används för olika verksamhet inom föreningen, behöver inte varje användningsändamål dokumenteras sparat.

För varje typs hantering av personuppgifter måste ni ta ställning till följande:

  • Beskrivning, vem samlar in vilka uppgifter
  • Lagling grund, vilka uppgifter samlas in och finns det en laglig grund för behandling av de här personuppgifterna, dvs. behöver ni dem nödvändigtvis för den verksamhet det är frågan om
  • Insamling, hur samlas uppgifterna in 
  • Godkännande, godkänner personen att ni hanterar uppgifterna och har de informerats om hur de hanteras
  • Utlämning, till vem ni lämnar ut uppgifterna 
  • Lagring/radering, hur länge sparas uppgifterna och hur och när raderas de
  • Risker, bedöm vilka risker behandlingen av personuppgifter medför och hur de kan minimeras
  • Hur de registrerades rättigheter tillmötesgås, dvs. rätten att få tillgång till sina personuppgifter, få felaktiga personuppgifter rättade, få sina personuppgifter raderade, invända mot att personuppgifterna används för direktmarknadsföring

Typiska uppgifter som pensionärföreningar hanterar listas här nedanför, men ni skall kartlägga de uppgifter ni använder i er egen verksamhet och dokumentera dem. Om de uppgifter som behövs finns i sin helhet i medlemsregistret behövs som sagt inte nödvändigtvis en separat redovisning eftersom den redan beskrivs i samband med registret. Ett exempel är resor som enbart medlemmar deltar i, för dessa räcker beskrivningen av medlemregistret, men om också icke-medlemmar deltar i resan måste en skild dokumentation göras.

  • Anmälningslistor och deltagarförteckningar för resor och evenemang
  • Uppvaktningslistor med födelsedagar
  • Mötesprotokoll med personuppgifter
  • Uppgifter på webben och på Facebook, text och bilder
  • Medlemsregister beskrivs närmare nedan
  • ...

För var och en av dessa som ni identifierar i er förening kan ni skriva ert eget dokument eller fylla i mallen här i Excel (.xlsx) eller PDF (.pdf).

Exempel. Dokumentationen för anmälning till föreningens resor kan se ut på följande sätt då ni fyllt i dokumentationen:

 


Beskrivning: Anmälning till resa. Namn, Epost, Tel nr samlas in på papperslista, hanteras av reseledaren

 
  Dokumentation Kartlagt
Lagling grund: Ja, vi behöver namn, epost och telefonnummer för att veta vem som kommer och för att kunna kontakta dem. Specialdieter samlas in men antecknas enbart antal personer per diet. X
Insamling: Genom cirkulerande listor på möten och per telefon. X
Godkännande: Personerna har informerats om ändamålet med listan, de godkänner att uppgifterna hanteras genom att skriva namnet på listan. X
Utlämning: Enbart uppgift om antal resenärer lämnas till bussbolaget, det har därför inte säkerställts närmare. X
Lagring/radering: Namn och telefonnummer sparas högst till nästa år för att skicka ut information om nästa års resa, därefter raderas de genom att förstöra listan. X
Risker: Inga risker identifierade. X
Registrerades rättigheter: Görs på begäran och uppgifterna används inte till direktmarknadsföring. X

 

Åtgärder

I samband med kartläggningen kan ni upptäcka sådant som behöver åtgärdas, det kan typiskt vara sådant som beskrivs här.

Samla inte in onödiga uppgifter

Ifall ni i samband med kartläggningen identifierar sådana uppgifter som samlas in men inte är nödvändiga för verksamheten, är det bäst att åtgärda det genom att sluta samla in den informationen.

Exempel: Om ni inte skickar någonting per post till deltagarna på en resa är det onödigt att samla in den informationen. Om ni samlar in om specialdiet är det kanske inte nödvändigt att samla in annat än antal - tex. antal personer (men inte namn) med laktosintolerans för att meddela restaurangen. 

Informera tydligt hur ni hanterar uppgifterna

Det som i många fall behöver åtgärdas är att det tydligt framgå varför ni samlar in olika personuppgifter, hur ni förvarar dem och när ni raderar dem. Det här behöver skrivas in i de formulär och de blanketter ni använder för att samla in personuppgifter. För de föreningar som använder förbundets medlemsregister och har en "bli medlem"-sida läggs det här in automatiskt.

De personer som redan är medlemmar kan man informera om hur man hanterar personuppgifterna och be de som inte samtycker ta kontakt. Förbundet lägger in en notis i GT6/2018 om detta för att nå alla medlemmar, så föreningarna behöver inte göra det själva (God Tid är den kanalen som har möjlighet att nå alla medlemmar).

Identifiera risker

Granska kritiskt hanteringen och vilka risker som är förknippade med hanteringen, diskutera möjliga åtgärder och ändra processerna ifall det gör hanteringen säkrare.

Exempel: Om ni identifierar att en anmälningslista brukar skickas per epost (som i grunden och alltid är osäkert) kanske ni i fortsättningen räcker över listan personligen på ett möte, eller kanske det räcker med att meddela antal personer istället för att skicka hela listan med uppgifter.

Exempel: Om ni skickar ut epost till flera personer på en gång (tex. i samband med en resa) skall ni för epost-adresserna använda fältet "Hemlig kopia" (eng. Bcc) istället för det vanliga mottagarfältet. Annars ser mottagarna varandras adresser och ni kan då komma att lämna ut personuppgifter på ett sätt som personerna inte godkänt. Det här kan tyckas vara en detalj, men det har faktiskt gällt redan före GDPR. Läs mera här på Yles sidor. 

Förbjudna uppgifter

Förbjudna uppgifter, dvs sådana som inte alls får hanteras (samlas in, sparas osv), är uppgifter om ras eller etniskt ursprung, politisk övertygelse, religiös övertygelse, uppgifter om brott, sexuella inriktning, hälsotillstånd, handikapp, sjukdom osv.

Medlemsregister

Medlemsregistret är ofta det register där flest personuppgifter finns samlade, beroende på om föreningen använder förbundets register eller ett eget register krävs olika åtgärder:

  • Använder föreningen det medlemsregister som förbundet erbjuder kan du använda förbundets beskrivning här (https://spfpension.fi/sv/forbundet/styrdokument/personuppgiftshantering/). Då kan du vara säker på att det följer lagen. Dokumentationen kan då se ut så här (ändra vid behov): Excel (.xlsx) eller Pdf (.pdf).
  • Om föreningen använder ett eget register (inte gemensamma förbundets) måste ni själva se till att göra dokumentationen och fästa uppmärksamhet på att även följande saker kontrolleras och dokumenteras: 
    • Vem hanterar uppgifterna (personuppgiftsbiträde)
    • Vilka uppgifter finns i registret, behövs uppgifterna för verksamheten, hur känsliga uppgifter är det.

Om ni har formulär för att bli medlem på er webbplats eller på blankett skall ni där informera hur ni hanterar personuppgifterna och be om samtycke till det i formuläret, ni kan då göra det genom att länka till förbundets sida på: https://spfpension.fi/sv/forbundet/styrdokument/personuppgiftshantering/. Om ni använder ett eget register måste ni lägga in er egen beskrivning.

Anmäl incidenter

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Om man tex. misstänker att medlemsregistret eller någon annan lista har kommit i fel händer skall man anmäla det till inom 72 timmar. Lämpligen kontaktar man i föreningen vid ett sådant fall genast styrelsen, som i sin tur kontaktar dataombudsmannens byrå för närmare anvisningar: http://www.tietosuoja.fi/sv/index.html

 

Läs mer

Du kan läsa mer om dataskydd på föreningsresursens webbplats: https://www.foreningsresursen.fi/administration/personuppgifter/

och på Dataskyddsombudsmannens byrås webbplats: http://www.tietosuoja.fi/sv/index.html 

ANNONSER