GDPR i korthet

Det viktigaste om EU:s dataskyddsförordning. Personuppgifter i föreningar, till exempel medlemsregister, ska behandlas med stort ansvar och väldokumenterat.

GDPR - EU:s dataskyddsreform 

GDPR eller General Data Protection Regulation är EU:s allmänna dataskyddsförordning.

Alla föreningar är skyldiga att upprätthålla medlemsregister och berörs därför direkt av GDPR. Föreningar som endast har organisationer som medlemmar berörs inte beträffande medlemsregistret, men de behandlar personuppgifter i andra sammanhang

GDPR är en komplicerad helhet men i de flesta fall räcker det med att sätta sig in i huvudreglerna. 

Bakgrund  

GDPR reglerar hur data som gäller enskilda individer får behandlas inom EU. GDPR ska säkerställa den enskilda individens möjlighet att ha kontroll över de egna personuppgifterna.

För organisationer som hanterar personuppgifter räcker det inte längre att passivt följa regler, utan de måste nu aktivt kunna påvisa att de uppfyller reglerna: "den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs".

Övervakande myndigheter har också möjlighet att utfärda administrativa sanktionsavgifter. För allvarliga överträdelser kan företag påföras avgifter på upp till 4 procent av den globala omsättningen, för övriga kan avgiften vara upp till 20 000 000 euro.  

Berättigade ändamål 

Behandlingen av personuppgifter är laglig endast om minst ett av de villkor som uttryckligen nämns i GDPR uppfylls.

Av de sex berättigade ändamål som nämns är några relevanta för föreningar. För det första sägs att behandling är laglig i fall den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den personuppgiftsansvarige. Föreningslagen förutsätter att alla föreningar upprätthåller en förteckning över sina medlemmar.

Ett annat alternativ är regeln att behandlingen är laglig om den registrerade har lämnat sitt samtycke till behandling för ett eller flera specifika ändamål. Samtycket skall dock kunna påvisas av den som behandlar personuppgifterna och det kan under den här regeln när som helst återtas. Att hantera samtycke kan i praktiken vara arbetsdrygt för en mindre förening.

Det tredje alternativet är den allmänna regeln att behandling är laglig i fall den är nödvändig för ändamål som berör den personuppgiftsansvariges berättigade intressen. Det här begreppet definieras inte närmare och det är alltså upp till den som behandlar uppgifterna att visa att behovet av behandlingen väger tyngre än den registrerades rättigheter. För föreningar lönar det sig alltså att se till att behandlingen så långt som möjligt grundar sig på regeln om rättsliga förpliktelser.  

Principer 

GDPR anger en uppsättning principer som alltid ska följas då personuppgifter behandlas. Den övergripande tanken är

  • att behandlingen skall bygga på tydliga behov,
  • att uppgifter endast får användas för det syfte de har samlats in för
  • att inga onödiga eller alltför omfattande uppgifter får samlas in
  • att uppgifterna inte får behandlas under längre tid än de behövs för
  • att dataskyddet skall vara tillräckligt starkt.

Rättigheter

Enligt GDPR har den registrerade många rättigheter. Den registrerade har bland annat rätt till tillgång, rätt till rättelse och rätt till radering under vissa förutsättningar.

Begreppet "registerbeskrivning" finns inte med i de nya bestämmelserna, men i stället nämns en uppsättning information som ska ges till den registrerade i det skede personuppgifterna tas emot. Detaljerna framgår i artikel 13 av GDPR.

GDPR och dataskyddslagen

I Finland kompletteras GDPR av dataskyddsförordningen. Enligt förordningen ska den som behandlar personuppgifter ha tystnadsplikt. 

GDPR i föreningar

Varje ny förening ska börja med att utreda vilka personuppgifter den behandlar och i vilka sammanhang det sker. Medlemsregistret är knappast det enda sammanhanget där personuppgifter behandlas i en förening.

Utred den rättsliga grunden för de olika sammanhang som personuppgifter behandlas inom. Fastställ

  1. hur föreningen påvisar att den följer principerna för behandling av personuppgifter och
  2. hur föreningen garanterar den registrerades rättigheter. Till det hör att skapa den information enligt artikel 13 som behövs.

Se till att dokumentera arbetet skriftligt – några sidor ska räcka för en vanlig förening. Ta upp frågan i styrelsen så att ärendet även blir protokollfört.