EU:s nya allmänna dataskyddsförodning (GDPR)

Översikt

EU:s nya allmänna dataskyddsförodning (GDPR) träder i kraft 25 maj 2018 och gäller alla organisationer som behandlar personuppgifter, även föreningar. GDPR ersätter den nuvarande personuppgiftslagen. De nya reglerna är detaljerade och omfattande och det är viktigt att alla föreningar sätter in sig i vilka nya skyldigheter som uppkommer i och med den nya lagstiftningen.

Denna översikt tar upp allmän info om GDPR som är relevant för föreningar. Till sist under "Vad betyder GDPR för vår förening?" finns några sammanfattande praktiska tips.

OBS! Följande framställning är en allmän översikt av GDPR och är inte avsedd att vara juridiskt uttömmande och heltäckande eller tillämpbar i alla fall. Hela förordningen tas inte upp. Läsaren bör själv granska sitt specifika fall, skaffa sig kompletterande information och vidta nödvändiga åtgärder.

Citat ur GDPR och fisnka lagstiftning med indrag och grå balk.

Allmänt om GDPR

  • GDPR = General Data Protection Regulation

  • Europarlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

  • EU-förordning = ”EU-lag”, gäller på samma sätt samtidigt i alla medlemsländer och går före nationell lagstiftning

  • EU-direktiv = bindande uppmaning till medlemsländerna att stifta lagar med visst innehåll

  • Antogs av ministerrådet 8.4.2016 och av EU-parlamentet 14.4.2016 

  • Trädde i kraft 24.5.2016, men gäller fullt ut efter en övergångsperiod fr.o.m. 25.5.2018

    • Efter det måste all behandling av personuppgifter i EU vara i överensstämmelse med GDPR   

  • Ersätter i Finland bestämmelser i nuvarande Personuppgiftslagen (PuL)

    • PuL ca 25 sidor, GDPR: ca 88 sidor (A4) -> noggrannare och mer detaljerad reglering 

  •  I Finland kommer också en ny lag att stiftas för att komplettera regleringen i GDPR

  • En arbetsgrupp vid JM gav strax före midsommar utkast till proposition till Dataskyddslag. Remissrundan är avslutad. Tjänstemannaberedning på gång. En regeringsproposition är på kommande.

    • Den nya Dataskyddslagen ersätter inte förordningen utan fyller i vissa luckor som förordningen låter medlemsländerna fatta beslut om nationellt.(Sammanlagt ca 50 punkter i GDPR som medlemsländerna nationellt får besluta om.)

  • Perspektivet ändras:

    • tidigare: överensstämmelse, att följa reglerna (compliance)

    • NYTT: ansvarsskyldighet, skyldighet att visa att man följer reglerna 

Varför skapades lagen?

De nuvarande reglerna för hantering av personuppgifter är över 20 år gamla. De bygger på ett EU-direktiv från 1995. Personuppgiftslagen i Finland, som bygger på det direktivet är från 1999.

Reformens syfte:

  • att modernisera lagstiftningen om dataskydd av personuppgifter så att det motsvarar den teknologiska utvecklingens och globaliseringens utmaningar
  • bygga förtroende för hur våra personuppgifter hanteras
  • att sporra utvecklingen av digitala tjänster genom att förenhetliga regleringen inom alla medlemsländer

Vem gäller GDPR?

  • GDPR gäller alla organisationer som behandlar personuppgifter, både registerupprätthållare och de som behandlar personuppgifter
  • Gäller alla – oberoende om det är frågan om en myndighet, ett företag eller en förening och oberoende hur omfattande behandlingen är, vilka uppgifter som behandlas eller vilken teknologi som används

Art. 2.1: Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling av personuppgifter som ingår eller kommer att ingå i ett register.

Gäller inte (bl.a.)

Denna förordning ska inte tillämpas på behandling av personuppgifter som... c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll,

GDPR gäller inte heller avlidna personers personuppgifter.

Definitioner

Art 4.1: personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

en personuppgift är alltså vilken som helst uppgift som kan användas för att identifiera en fysisk person

Jämförelse med den nuvarande Personuppgiftslagen:

PuL: personuppgifter alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom,

Art 4.2: behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

PuL: behandling av personuppgifter insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna,

Art 4.6: register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

PuL: personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader,

 Art 4.7: personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

en förening är personuppgiftsansvarig enligt denna definition

PuL: registeransvarig en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register,

Art 4.8: personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

PuL: tredje man andra personer, sammanslutningar, inrättningar eller stiftelser än den registrerade, den registeransvarige, registerföraren eller den som behandlar personuppgifter för de två sistnämndas räkning,

Principer för behandling av personuppgifter

  • Tanken är att fysiska personer ska ha omfattande rättigheter i förhållande till alla uppgifter som de kan identifieras med hjälp av
  • När sådana uppgifter samlas in och används ska den registrerade ska den personuppgiftsansvariga följer vissa principer.

Art 5:  1. Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Lagliga grunder för att behandla personuppgifter

Personuppgifter för endast behandlas enligt de grunder som nämns i GDPR.

Art 6.1: Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

För föreningar gäller punkt c. Föreningslagen: 11§1mom: Styrelsen skall föra en förteckning över föreningens medlemmar. I förteckningen skall införas varje medlems fullständiga namn och hemort.

Föreningar har alltså en lagstadgad skyldighet att upprätthålla ett register över sina medlemmar och att bokföra (bokföringen kan innehålla personuppgifter).

Lagliga grunder: samtycke

Art 7:

–1. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

–2. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

–3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

–4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

GDPR understryker betydelsen av samtycke. Föreningar måste beakta detta, kanske inte i första hand i samband med medlemsregistret, men i nog i andra sammanhang där personuppgifter samlas in. Personuppgifter samlas in i många andra sammanhang som en del av verksamheten: anmälningar, deltagarförteckningar, etc. 

  • Den här ”diffusa” insamlingen är mer problematisk för föreningen – den bygger inte på en lagstadgad skyldighet utan på samtycke. 
  • Samtycke är ett tveeggat svärd: samtycke möjliggör en omfattande behandling, men samtycke kan när som helst återtas vilket är besvärligt för föreningen att hantera.

Barn

GDPR ger barn en specialställning, med striktare krav:

Art 8.1: Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a [=samtycke] behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

  • Åldersgränsen kommer att regleras nationellt. I utkastet till Dataskyddslag lämnas frågan öppen [13/15 år]
  • Artikeln är otydlig – medlemskap i en förening är inte ”informationssamhällets tjänster”
  • Barn har rätt att bli medlem av en förening
  • MEN: t.ex. om det tas bilder på minderåriga – samtycke av person med föräldraansvar, (skriftligt!)

Förbjudna uppgifter

Art 9.1: 1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

Jmfr med PuL: Förbud mot behandling av känsliga uppgifter

Behandling av känsliga personuppgifter är förbjuden. Med känsliga uppgifter avses personuppgifter som beskriver eller vilkas syfte är att beskriva

  1. ras eller etniskt ursprung,
  2. någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund,
  3. en brottslig gärning eller ett straff eller någon annan påföljd för ett brott,
  4. någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom,
  5. någons sexuella inriktning eller beteende, eller
  6. någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.

På denna punkt är som synes GDPR de facto mindre strikt, behov av socialvård etc. nämns inte.

Det är ändå inte helt förbjudet att behandla förbjudna uppgifter. GDPR nämner många undantag, t.ex.:

  • den registrerade har uttryckligen lämnat sitt samtycke (Art 9.2.a)
  • Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. (Art 9.2.d)
  • Men: Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. (Art 10)

Den registrerades rättigheter

Förordningen tar upp och preciserar många rättigheter som den registrerade har i förhållande till den som upprätthåller registret.

Rättigheterna gäller även föreningsmedlemmar i förhållande till föreningens medlemsregister.

Art 12.1: Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

–13 = Information som ska tillhandahållas om pers.uppg. samlas in från den registrerade

–14 = Information som ska tillhandahållas om pers.uppg. Inte har erhållits från den registrerade (tas inte upp här)

–15-22 = specifika rättigheter som tillkommer den registrerade

–34 = information till den registrerade om en personuppgiftsincident 

D.v.s. all kommunikation med den registrerade skall ske i skriftlig form, om inte den registrerade begär informationen muntligt, men också i så fall enbart om föreningen är säker på den registrerades identitet. Kommunikationen ska vara koncis, klar och tydlig, begriplig och i lätt tillgänglig form, med användning av klart och tydligt språk.

Art 12.2: Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte är i stånd att identifiera den registrerade.

Art 12.3: Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22. Denna period får vid behov förlängas medytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat.

Art 12.4: Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

D.v.s  om man inte gör något är man ändå skyldig att meddela det. Skall vara omöjligt att inte reagera.

Art 12.5:Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller b) vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Art 12.6: Om det finns rimliga skäl att betvivla identiteten hos den person som lämnar in en begäran, får föreningen begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet, tillhandahålls.

Art 13 Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

(1) Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

–a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

–b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

–c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

–d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

–e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

–f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

(2) Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent behandling:

–a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

–b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.

–c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

–d) Rätten att inge klagomål till en tillsynsmyndighet.

–e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

–f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

(3) Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

(4) Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

D.v.s Art 13 motsvarar den registerbeskrivning som en registeransvarig nu måste ha, men är betydligt mer detaljerad och ställer högre krav på att den registrerade ska få den här informationen. (Nu räcker det att den är ”allmänt tillgänglig”)

Art 15 – Den registrerades rätt till tillgång

1.Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

–a) Ändamålen med behandlingen.

–b) De kategorier av personuppgifter som behandlingen gäller.

–c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

–d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

–e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

–f) Rätten att inge klagomål till en tillsynsmyndighet.

–g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

–h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

Art 16:Rätt till rättelse

–Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

•Art 17: Rätt till radering (”rätten att bli bortglömd”)

–Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

•a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

D.v.s då ett medlemskap upphör skall föreningen radera personuppgifterna i fall det inte kan visas att uppgifterna behövs till något berättigat ändamål.

Övriga rättigheter: 

Art 18: Rätt till begränsning av behandling

Torde inte påverka föreningar, annat än i sällsynta undantag.

Art 19: Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Torde inte påverka föreningar, annat än i sällsynta undantag.

Art 20: Rätt till dataportabilitet

Torde inte påverka föreningar, annat än i sällsynta undantag

Art 21: Rätt att göra invändningar

Torde inte påverka föreningar, annat än i sällsynta undantag.

Art 22: Automatiserat individuellt beslutsfattande, inbegripet profilering

Torde inte påverka föreningar

Personuppgiftsanvariges ansvar

Art 24: Den personuppgiftsansvariges ansvar

1. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

3. Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

För de flesta föreningar kan man anta att riskerna är relativt låga, men tanken är att alla personuppgiftsansvarige skall bedöma riskerna som sammanhänger med behandlingen av personuppgifter. Ju större register, ju fler personer och uppgifter det innehåller, desto större är riskterna. 

Rättsmedel, ansvar och sanktioner

Art 77 Rätt att lämna in klagomål till en tillsynsmyndighet

1. Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

Art 82: Ansvar och rätt till ersättning

1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan

Art 83.5 Vid överträdelser av följande bestämmelser ska det i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

a) De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9.

b) Registrerades rättigheter enligt artiklarna 12–22.

c) Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 44–49.

d) Alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX.

e) Underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

6. Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i den här artikeln påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:

OBS! En lång rad faktorer som kan inverka, ex. överträdelsens karaktär, svårighetsgrad, varaktighet, om det skett med uppsåt eller genom oaktsamhet, hur man samarbetet med myndigheten, om godkända uppförandekoder eller certifieringar har tillämpats etc. etc. D.v.s. ingen automatik.

Vad betyder GDPR för vår förening?

  • Skaffa information, sätt in dig i de nya reglerna
  • Kartlägg vilka register föreningen har (t.ex. med ett databokslut)
    • vilka personuppgifter som registreras i dem och hur och av vem de behandlas,
    • analysera risker
    • protokollför kartläggningen
    • skapa nya rutiner för hur personuppgifter samlas in
    • information enligt Art 13 som skall ges i samband med insamling, hur sköter föreningen om den saken i fortsättningen?
    • beakta hur föreningen påvisar att den garanterar den registrerades rättigheter och principerna för behandling av personuppgifter

Medlemsregistret är antagligen inte ett stort problem. De flesta föreningar har mer eller mindre välutvecklade rutiner för hur medlemsärenden hanteras.

  • Kartlägg andra moment där personuppgifter samlas in och lagras (anmälningar, deltagarförteckningar, bokföringen) – ”diffus insamling”
  • Undersök i vilka fall det är nödvändigt att skaffa samtycke
  • Beakta dataskydd – hur skyddas personuppgifterna i de olika kontexterna?
  • Ifall registertjänster köps in: se till att leverantören följer regleringen (uppförandekoder, certifiering)
  • Dokumentera – allt som görs ska kunna påvisas

Nyttiga länkar

Hela GDPR på EU:s webbplats på alla EU-språk

Dataombudsmannens webbplats om GDPR 

Info om hur man gör ett databokslut

Svenska Datainspektionens webbplats har mycket info på svenska, men OBS, Sveriges lagstiftning inte är identisk med Finlands

Dataskyddsreformen

Frågor och svar

Frågor

Om du har frågor beträffande din förening och GDPR går det bra att ta kontakt! 

Sebastian Gripenberg, verksamhetsombud i Nyland, SFV: sebastian.gripenberg@sfv.fi

 

Artikel

Kompletterad information om GDPR

SFV har publicerat mera information om EU:s dataskyddsreform. Ny är informationen om vad artikel 13 innebär och en modell för hur föreningarna kan beskriva sitt dataskyddsarbete. Läs mera »
Stefan Andersson
27.04.2018 kl. 10:51

Dataskyddslagen till Riksdagen

Regeringen sände 1.3.2018 propositionen för ny dataskyddslag (RP 9/2018) till riksdagen. Dataskyddslagen ska komplettera EU:s allmänna dataskydds-förordning (GDPR), som träder i kraft i hela EU den 25 maj 2018. Dataskyddslagen innehåller viktiga bestämmelser som föreningar bör känna till. Läs mera »
Sebastian Gripenberg
06.03.2018 kl. 13:39

Dataskyddsreformen

SFV har samlat en kortfattad information om det viktigaste små föreningar bör veta om ändringarna i dataskydds-lagen som en följd av EU:s allmänna dataskyddsförord-ning GDPR. Den träder i kraft den 25 maj 2018Läs mera »
Stefan Andersson
08.02.2018 kl. 11:48

Bokslutstips för föreningar

Senaste justering av bokföringslagen förde med sig några förändringar som föreningar borde beakta i sitt bokslut.Läs mera »
Stefan Andersson
23.01.2018 kl. 14:30

VIKTIGT MEDDELANDE TILL FORTNOX-BOKFÖRARE

Bokföringsprogrammet Fortnox har en ny funktion som varnar för att ingående balans inte stämmer överens med utgående balans och frågar om man skall överföra balansen på nytt?Läs mera »
Stefan Andersson
04.01.2018 kl. 12:19

Nya direktiv om beskattning av talko och frivillig-verksamhet

Skatteverket har publicerat nya direktiv om hur bl.a. talko- och frivilligverksamhet beskattas. Direktivet behandlar också olika former av belöningar och ersättningar och hur de beskattas. Läs mera »
Stefan Andersson
28.04.2017 kl. 13:02

Bokföringsprogrammet Fortnox

Bokslutssäsongen är nu som livligast. Har du problem med Webbhusets Fortnox-bokföring? Läs mera »
Stefan Andersson
16.02.2017 kl. 13:22

Nytt år 2017

Årskiftet innebär ofta att nya lagar träder i kraft. År 2017 har också fört med sig nya regler, avdragsprocenter och ändringar i tjänster.Läs mera »
Stefan Andersson
01.01.2017 kl. 14:07

Ändringar i Föreningslagen

Riksdagen har den 7 juni godkänt några ändringar i Föreningslagen. Bland annat har föreningsregistet fått en möjlighet att avregistrera föreningar som inte hört av sig.Läs mera »
Stefan Andersson
15.06.2016 kl. 08:56

Webbplats för frivilligarbetet

Justititieministeriet koordinerar information om frivilligarbete och har öppnat en webbplats för dettaLäs mera »
Stefan Andersson
11.03.2016 kl. 14:43