Att tänka på i samband med Artikel 13 samt modell för beskrivning av föreningens behandling av persondata.

EU:s allmänna dataskyddsförordning (nedan GDPR) gäller föreningar som hanterar personuppgifter från och med den 25 maj 2018. Bland bestämmelserna i lagen finns artikel 13. Artikeln räknar upp en hel del information som skall ges till den registrerade i samband med att den personuppgiftsansvarige (dvs. föreningen) erhåller uppgifterna. Det enda undantaget är ifall den registrerade redan förfogar över informationen, i vilket fall föreningen inte behöver ge ut den information som artikel 13 förutsätter.

Hela artikeln finns citerad i slutet av denna text.


Vad innebär artikel 13?

De europeiska dataskyddsmyndigheternas samarbetsgrupp (WP29-gruppen) har den 11.4.2018 givet riktlinjer för hur personuppgiftsansvariga skall förverkliga transparens i ljuset av GDPR och tar i detalj upp artikel 13. Följande framställning bygger på dessa riktlinjer, men det är viktigt att varje förening individuellt skaffar sig all den information som behövs för att kunna uppfylla lagens krav.

Den tidigare finländska personuppgiftslagen förutsatte att varje register skall ha en registerbeskrivning. Detta begrepp finns inte med i GDPR. I stället tas i olika artiklar upp information som en personuppgiftsansvarig är skyldig att ge till den registrerade (ex. art 13, 14, 15 & 30) i olika situationer.

Transparens är ett genomgående tema i lagen och en väsentlig skyldighet för personuppgiftsansvariga. Eftersom begreppet registerbeskrivning i någon mån är etablerat vore det klargörande att efter den 25 maj 2018 använda en likartad beteckning, men samtidigt klargöra kopplingen till GDPR, ex. ”registerbeskrivning (artikel 13)” eller motsvarande, så att informationens syfte och funktion är så tydlig som möjligt.

Artikel 13 förutsätter att informationen skall lämnas till den registrerade av den personuppgiftsansvarige när uppgifterna erhålls. Det innebär att artikel 13-informationen skall ges utan dröjsmål i samband med att personuppgifterna tas emot. I fråga om exempelvis en ny medlem, som skriver in sig i en förening, kan informationen finnas tillgänglig i samband med en webblankett eller en pappersblankett för personuppgifter. Enligt riktlinjerna skall en registrerad inte själv behöva söka aktivt efter den här informationen.

GDPR förutsätter att all kommunikation mellan en personuppgiftsansvarig och en registrerad skall ske i en ”koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk”. Det är alltså viktigt att undvika ett överflöd av information.

 

Artikel 13: punkt för punkt

Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

Här anges helt enkelt föreningens namn och kontaktuppgifter.
 

Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

Dataskyddsombud förutsätts ifall: ”den personuppgiftsansvariges [...] kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller den personuppgiftsansvariges [...] kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10”.

Således är det klart att ytterst få föreningar kommer att behöva ett dataskyddsombud och på denna punkt kan antecknas att ”föreningen är inte skyldig att utse ett dataskyddsombud” eller så lämnas punkten helt enkelt bort för att undvika ett överflöd av information.

 

Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

Den här punkten är ytterst viktig och sammanhänger med principen om ändamålsbegränsning – dvs att personuppgifter endast får användas för de uttryckligen angivna ändamål som de har samlats in för.

En förening bör alltså noggrant och heltäckande beskriva för vilka ändamål den samlar in personuppgifter i en given kontext (t.ex. för medlemsregistret).

Några allmänna och tänkbara ändamål på denna punkt är:

Att möjliggöra föreningens verksamhet

Att göra det möjligt att säkerställa föreningens och medlemmarnas rättigheter och skyldigheter

Att dokumentera föreningens verksamhet och organisation

Den rättsliga grunden för t.ex. ett medlemsregister är artikel 6.1.c (rättsliga förpliktelser) och artikel 9.2.d (behandling av särskilda, dvs. känsliga personuppgifter). De nationella lagarna är t.ex. föreningslagen och bokföringslagen.

 

Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

Artikel 6.1.f beskriver berättigat intresse som laglig behandlingsgrund.

Berättigat intresse förutsätter att föreningen väger sitt eget intresse att behandla personuppgifterna mot den registrerades rättigheter och friheter. Intresset skall i så fall finnas dokumenterat och anges här.

Behandlingen av personuppgifter i ett medlemsregister bygger inte som regel på berättigat intresse, så till den delen så inte är fallet kan denna punkt lämnas bort.

 

Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

Under denna punkt skall så noggrant som möjligt anges vem som kommer att behandla personuppgifterna efter att föreningen har fått dem.

En förening kan ange vilka kategorier av ansvarspersoner som ska ta del av uppgifterna inom sin organisation, t.ex:

Personuppgifterna hanteras av föreningens styrelse 

Personuppgifterna hanteras av föreningens styrelse och följande förtroendevalda (...)

Personuppgifterna hanteras av föreningens styrelse och följande förtroendevalda samt följande anställda (...)

Ifall föreningen är en del av ett förbund och det inom ramen för förbundsstrukturens interna administration förutsätts att uppgifter ur lokalföreningarnas medlemsregister överlämnas till andra nivåer inom organisationen bör saken även nämnas under denna punkt. Föreningen kan t.ex skriva:

Föreningens medlemsregister är tillgängligt för personal vid förbundskansliet. 

Föreningens styrelse har enligt föreningslagen rätt att besluta om överlämning av uppgifter i medlemsregistret, men detta kräver ett uttryckligt samtycke av varje berörd person. En förening i en förbundsorganisation kan därför ytterligare skriva:

Uppgifterna i medlemsregistret överlämnas inte utöver till förbundet utanför organisationen.

 

I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

Ifall föreningen inte avser att överföra personuppgifterna utanför EU kan denna punkt lämnas bort.

 

Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

Här måste föreningen fastställa hur länge uppgifterna i t.ex. medlemsregistret lagras.

Uppgifterna måste lagras så länge som medlemskapet fortgår. Efter att det upphört beror fortsatt hantering på vilka ändamål föreningen har uppgivit och huruvida fortsatt behandling är förenliga med dessa ändamål. Detta bör dock uppfattas som ett undantag och huvudregeln är att personuppgifter för en medlem som har lämnat föreningen skall raderas. Observera att avlidna medlemmars personuppgifter inte omfattas av GDPR. Föreningen kan t.ex. skriva:

Uppgifterna lagras så länge som medlemskapet fortgår och raderas därefter.

 

Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

En medlem i en förening har alltid rätt att begära tillgång till och rättelse av sina uppgifter.

En medlem som inte vill skriva ut sig ur föreningen har inte möjlighet att begära radering av sina uppgifter eller att begränsa eller invända mot behandlingen, så länge föreningens behandling är laglig.

En medlem som har lämnat föreningen har rätt att begära radering av sina uppgifter samt att utöva rätten till begränsning av behandlingen eller att invända mot behandlingen.

Rätten till dataportabilitet (att få sina uppgifter av den personuppgiftsansvariga i maskinläsbart format) är i regel inte tillämpar på föreningar.

 

Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

Artikel 6.1.1 och 9.2.a hänvisar till samtycke. Eftersom behandling av personuppgifter i en förening sällan grundar sig på samtycke kan denna punkt förmodligen lämnas tom.

 

Rätten att inge klagomål till en tillsynsmyndighet.

Varje registrerad har alltid rätt att inge klagomål till Dataskyddsmyndigheten (tidigare: Dataombudsmannens byrå).

Föreningen kan t.ex. skriva:

Varje medlem av föreningen har rätt att inge klagomål till Dataskyddsmyndigheten.

 

Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

Föreningslagen förutsätter att föreningen upprätthåller en förteckning över sina medlemmar, det är alltså ett lagstadgat krav för medlemskap i en förening.

Föreningen kan t.ex. skriva:

Föreningslagen förutsätter att föreningen upprätthåller en förteckning över samtliga medlemmar. Ifall uppgifterna inte lämnas är det inte möjligt att vara medlem i föreningen.

 

Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Denna punkt är förmodligen inte relevant i någon sedvanlig förening. Punkten kan lämnas tom eller så kan föreningen skriva:

Föreningen använder sig inte av automatiserat beslutsfattande eller profilering.

 

 

 

Sammanfattning

En normal förening med sedvanlig verksamhet kan alltså ha ett dokument i stil med följande:

Registerbeskrivning / information enligt artikel 13 i GDPR

 

Föreningens namn och kontaktuppgifter

Förening X rf, webbadress, e-postadress, telefonnummer

 

Medlemsregistrets ändamål och den lagliga grunden

Medlemsregistrets ändamål är att möjliggöra och dokumentera föreningens verksamhet och organisation samt att förverkliga föreningens och medlemmarnas rättigheter och skyldigheter.

Den rättsliga grunden för medlemsregistret är artikel 6.1.c (rättsliga förpliktelser) och artikel 9.2.d (behandling av särskilda kategorier av personuppgifter). Beträffande nationell lagstiftning finns stadganden i föreningslagen och bokföringslagen.

 

Mottagare av personuppgifterna

Personuppgifterna hanteras av föreningens styrelse, medlemssekreterare, kassör och bokförare. Uppgifterna är även tillgängliga för anställda vid Förbund Y rf. Uppgifterna i medlemsregistret överlämnas inte utöver till förbundet utanför organisationen.   

 

Lagringsperioden

Uppgifterna lagras så länge som medlemskapet fortgår och raderas därefter.

 

Rättigheter

Personer som finns upptagna i medlemsregistret har rätt att begära tillgång till och rättelse av sina uppgifter. Så länge medlemskapet fortgår är det inte möjligt att begära radering av sina uppgifter eller att begränsa eller invända mot behandlingen. Rätten till dataportabilitet är med stöd av artikel 20.1.a och 20.1.b inte möjlig att utöva.

 

Klagomål

Personer som finns upptagna i medlemsregistret har rätt att inge klagomål till Dataskyddsmyndigheten.

 

Skyldighet att tillhandahålla uppgifter

Föreningslagen förutsätter att föreningen upprätthåller en förteckning över samtliga medlemmar. Ifall uppgifterna inte lämnas är det inte möjligt att vara medlem i föreningen.

 

 

 

Bilaga;

Artikel 13 i sin helhet

 

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1. Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a)  Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b)  Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c)  Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)  Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e)  Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)  I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

a)  Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)  Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

c)  Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d)  Rätten att inge klagomål till en tillsynsmyndighet.

e)  Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

f)  Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

 

3. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

 

4. Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.”

 

 

Friskrivningsklausul

Observera att denna text inte utgör juridisk rådgivning, utan är en förenkling av gällande lag. Tillhandahållaren inte kan hållas ansvarig för hur informationen kan komma att brukas eller för att texten inte är uppdaterad. Rätten till ändringar förbehålles.