gdpr - Dataskyddsförordningen

Den 25 maj 2018 träder EU:s nya dataskyddförordning GDPR i kraft. Under den här sidan samlar vi information som kan hjälpa föreningens arbete med att säkra upp att hanteringen av personuppgifter sker på rätt sätt för att efterleva GDPR. Att GDPR träder i kraft är ett toppenbra tillfälle för din förening att se över era rutiner för personuppgiftshantering och säkerställa att ni hanterar era medlemmar, tidigare medlemmar, anställda och förtroendevalda med integritet.
 

Har du frågor som du inte hittar svar på här kan du kolla på Datainspektionens hemsida eller höra av dig till förbundet.

faq

Vad är GDPR?
GDPR, (eller General Data Protection Regulation) är den nya dataskyddsförordningen som gäller inom EU. Från och med 25 maj 2018 ersätter den vår tidigare nationella datalagstiftning PUL.
Syftet med GDPR är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.
Denna lag kallas, i Sverige, även för Dataskyddsförordningen.
 

Vilken skillnad är det mot tidigare PUL?
När det gäller ”Samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.
Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder, mail osv. Detta undantag, som kallades för ”missbruksregeln” har tagits bort och även material i ostrukturerad form omfattas av GDPR.
Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.
 

Hur påverkar GDPR Ung Teaterscen?
Den största påverkan jämfört med nuvarande lagstiftning är att vi som organisation måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både föreningar lokalt och Ung Teaterscen nationellt. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten, och det måste vara tydligt för den vi behandlar uppgifter om att vi gör det, vilka uppgifter vi behandlar och varför.
 

Hur behandlas personuppgifter hos Ung Teaterscen?
För att behandla personuppgifter krävs en rättslig grund (laglig grund) för detta. I det dagliga arbetet hanteras Ung Teaterscens databehandling enligt ”avtal” eller ”samtycke” som rättslig grund. Betalning av medlemsavgiften eller på annat sätt bekräfta medlemskap i en teaterförening räknas som avtal.
Personuppgifter i Ung Teaterscen behandlas huvudsakligen i medlems- och anmälningsregister, för att kunna fullgöra det avtal som medlemskapet utgör. Det är viktigt att komma ihåg att endast sådana uppgifter som behövs för att fullgöra avtalet får behandlas, och att det måste framgå i avtalet hur och varför uppgifterna används. Det innebär att vi måste ”dela upp” vilka uppgifter vi kräver av medlemmar utifrån vilka behov som finns – registrering av hälsouppgifter som allergier är till exempel nödvändiga för att kunna genomföra en teaterfestival, men inte självklart nödvändiga för veckoverksamheten.
 

Kommunen ställer krav på att vår förening har närvaroförteckningar, hur ska dessa hanteras?
Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.
 

Vi har en webbsida där föreningens ledare finns med namn, mailadress, telefonnummer och bild. Hur ska det hanteras?
Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och hens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på föreningens hemsida).
 

På föreningens webbsida och i våra reklamblad finns det bilder på medlemmar. Kan vi ha kvar dessa?
Till att börja med måste medlemmen vara identifierbar på bilden för att den ska omfattas av GDPR. Lämpligtvis inhämtar ni samtycke från myndig medlem eller vårdnadshavare till att få publicera bilderna.
 

Vi har en lista som visar vilka som varit ledare i vår förening under hela föreningens historia (mer än 50 år). Kan vi ha kvar den?
Generellt är svaret ”nej” när det gäller personer som ej längre är medlemmar. Dessa saknar vi laglig rätt till att databehandla. I de fall där de fortfarande är medlemmar går bra, men då finns dessa redan som aktiva medlemmar i medlemsregistret.
Föreningen kan också be om ledarnas samtycke för att ha kvar deras uppgifter på hemsidan. Det är då viktigt att samtycket dokumenteras skriftligt, och att det är informerat (de vet vad de går med på) och frivilligt. Att samtycket är frivilligt innebär att det inte får innebära några negativa konsekvenser att inte samtycka. Det går också att när som helst återkalla ett samtycke, och uppgifterna ska då tas bort.
 

Vad gäller med molntjänster?
När det gäller behandling av personuppgifter genom s.k. molntjänster finns det några viktiga saker att tänka på.
En leverantör av en molntjänst (t.ex. google drive, dropbox osv.) är ett s.k. personuppgiftsbiträde. Det vill säga att det är någon som på ert uppdrag behandlar de personuppgifter ni sparar på den molntjänsten. Till exempel kan detta vara en deltagarlista på en teaterfestival. Själva lagringen är i sig en form av databehandling. Detta betyder att föreningen måste ha ett avtal med den tjänsteleverantören – ett s.k. personuppgiftsbiträdesavtal, som reglerar vilka uppgifter som avses och vad tjänsteleverantören – eller ”personuppgiftsbiträdet” får göra med personuppgifterna.
Ni behöver också säkerställa var uppgifterna lagras någonstans. Om leverantören har sina servrar utanför EU innebär det att era personuppgifter hanteras i ”tredje land” och då är det ert ansvar att se till att den tjänsteleverantören har vad GDPR kallar ”adekvat skyddsnivå”. Kolla vad som gäller för just era tjänsteleverantörer.
 

Vår teaterförening använder ett system som inte tillhandahålls av Ung Teaterscen. Vad gäller här?
Om teaterföreningen använder ett annat system än eBas ansvarar föreningen för att GDPR efterlevs. Det innebär t.ex. att föreningen måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.
ATRs medlemssystem arcMember är GDPR-säkert.
 

Har du fler frågor?
Troligtvis finns svaret på Datainspektionens hemsida.
Du kan också höra av dig till Ung Teaterscen så hjälper vi dig.

Vad är en personuppgift?
GDPR definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.
Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress, en bild, etc. Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under GDPR som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang.

Vilka rättsliga grunder finns det för att spara uppgifter?
Enligt det nya direktivet behöver du ha rättslig grund för att spara en personuppgift. Utan denna är personuppgiftsbehandlingen olaglig. I GDPR finns det sex rättsliga grunder på vilka man får spara uppgifter.
* Samtycke
* Avtal
* Intresseavvägning
* Rättslig förpliktelse
* Myndighetsutövning och uppgift av allmänt intresse
* Grundläggande intresse
För ideella organisationer och föreningar kommer framförallt samtycke, avtal, rättslig förpliktelse och intresseavvägning vara aktuella.
 

Vad innebär samtycke?
Samtycke innebär att en person själv godkänner att personuppgifter om den behandlas. Samtycke ska vara frivilligt, uttalat och lämnats efter att den registrerade fått information om personuppgiftsbehandlingen. Behandlar ni personuppgifter med samtycke som laglig grund behöver ni kunna visa upp att personen lämnat samtycke.

Vem är personuppgiftsansvarig?
Personuppgiftsansvarig är den juridiska person som sätter ändamålen för behandlingen av personuppgifter. I ert fall är den juridiska personen föreningen.
 

Är eBas GDPR-säkert?
Ja. Ung Teaterscen har en rättslig grund för att lagra personuppgifterna och detta kommer att finnas med som informationstext vid inskrivning av medlemsuppgifter. Vi rekommenderar starkt att det är medlemmen själv eller dennes vårdnadshavare som skriver in uppgifterna, enklast gör ni detta genom att låta dem onlineregistera sig i eBas. Om ni samlar in personuppgifter på annat sätt och själva matar in dem i eBas (ex genom pappersblankett eller excel-listor) är vår starka rekommendation att den föreslagna upplysningstexten finns med.

Vem är ansvarig för personuppgifterna i eBas?
Föreningen är ansvarig för personuppgifterna som behandlas i eBas. Ung Teaterscen tillhandahåller systemet men föreningarna själva är ansvariga för att personuppgifterna som finns registrerade är korrekta och behandlas i enlighet med lagen. Ung Teaterscen har tillgång till personuppgifterna och därför har ett personuppgiftsbiträdesavtal mellan föreningen och Ung Teaterscen upprättats.
 

Hur vet jag vilka uppgifter vår förening behandlar?
Ofta lagrar föreningar olika uppgifter till olika ändamål. T.ex. kontaktuppgifter till styrelsen, medlemsförteckning, lägeranmälningar m.m. Personuppgifter kan vara i både strukturerad form som i ett medlemsregister, och i ostrukturerad form som på hemsidan, i mail och dokument. Oavsett om en personuppgift finns i ett register eller inte behandlas den och ska då behandlas i enlighet med lagen.
Implementera rutiner för vilka uppgifter ni behöver behandla, hur ni ska inhämta och lagra dem, och hur ni gallrar ut dem när ni inte längre behöver dem.
 

Hur ska föreningen göra med anmälningar till egna läger och andra arrangemang?
Vi rekommenderar att ni inhämtar samtycke från myndig medlem eller vårdnadshavare i samband med att de anmäler sig till era arrangemang. Skapa rutiner för hur ni hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang. Detta gäller framför allt uppgifter som klassas som känsliga. T.ex. hälsouppgifter.
 

Kan jag som är ledare ha en utskriven medlemslista i en pärm?
Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.
Du får inte ge någon annan tillgång till listan (om inte de registrerade lämnat sitt samtycke till det) och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.
 

Om en ledare får ett mail av en förälder till en medlem, som meddelar barnets personuppgifter, omfattas det då av GDPR och hur ska det hanteras?
Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. eBas, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.
Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din förenings ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.
Ett förslag är att ni inför en policy i föreningen över hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är känsliga personuppgifter, t.ex. personnummer. Dessa måste hanteras med extra försiktighet.
 

En medlem vill veta vilken information vi har om den. Vad gör vi?
Den registrerade har enligt dataskyddsförordningen rätt att få information om de personuppgifter som behandlas. Om en medlem kommer och frågar vilka personuppgifter om den föreningen behandlar ska ni se till att den kostnadsfritt i en lättillgänglig och skriftlig form (kan vara elektroniskt) får information om vilka uppgifter ni behandlar, på vilken laglig grund och vad ändamålet med behandlingen är.
Om ni har felaktiga uppgifter kan den registrerade begära att få uppgifterna rättade.
 
En medlem vill bli raderad ur medlemssystemet? Vad gör vi?
Alla har rätt att bli “bortglömda” på egen begäran (och självklart ska ni se till att gallra uppgifter ni inte längre behöver spara). Att bli bortglömd innebär att alla ens personuppgifter raderas, ur både strukturerad information (t.ex. medlemssystem) och ostrukturerad information (t.ex. mail, löpande text, information på hemsida). Tänk igenom hur er rutin ser ut om någon hör av sig och vill bli bortglömd.