GDPR-resurser

Denna sida uppdateras löpande.

Informera mer – spara mindre

Den 25 maj träder EU:s nya dataskyddsförordning (eng. GDPR, General Data Protection Regulation) i kraft och ersätter den svenska personuppgiftslagen, PUL. Under den här sidan samlar vi information som vi hoppas kan hjälpa lokalföreningens arbete inom EFS och Salt med att se över sin hantering av personuppgifter och säkra att den sker på ett sätt som följer förordningen.

OBS! Denna sida uppdateras löpande.

Här har vi försökt samla och klargöra det vi vet och vilka steg som er förening bör ta just nu. Det framgår inte helt klart i förordningen vad som gäller för ideella föreningar i vissa avseenden, så allt är ännu inte klart med vad den nya lagen kommer att betyda för EFS och Salt.  Sidan kommer alltså att uppdateras löpande allt eftersom läget blir klarare och frågor uppkommer.

Innehållet på denna sida är förenklat och förkortat. Målet är inte att ge en heltäckande bild av GDPR och vad det betyder för oss utan att fokusera på det viktiga och det centrala.

Kort introduktion till GDPR

Syfte
Syftet med dataskyddsförordningen GDPR är att stärka skyddet och rättigheterna för fysiska personer avseende behandling av deras personuppgifter. Mycket påminner om PUL men i väsentliga delar är kraven högre, och de undantag som fanns i PUL för “ostrukturerad data” (missbruksregeln) gäller inte längre. Med ostrukturerad data menas bland annat löpande text, enklare listor, bilder och filmer, protokoll och e-post.
Sju grundprinciper
  1. Man får bara behandla personuppgifter om man uppfyller kraven i lagen.
  2. Man får bara samla in personuppgifter för ett angivet syfte.
  3. Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
  4. Har man personuppgifter måste man hålla dem korrekta och uppdaterade.
  5. När syftet är uppnått ska uppgifterna tas bort.
  6. Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
  7. Man ska kunna bevisa att man uppfyller alla dessa krav.
Ett par nyheter jämfört med gamla personuppgiftslagen PUL
  • När det gäller ”Samtycke” som rättslig grund för databehandling, ställer dataskyddsförordningen högre krav på hur det är utformat.
  • Under PUL (Personuppgiftslagen som den här lagen ersätter) fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln”, har tagits bort och även material i ostrukturerad form omfattas av dataskyddsförordningen.
  • Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.
  • Rätten att ”bli glömd”. Den registrerade kan begära att få sina uppgifter borttagna. Det finns dock vissa andra lagar eller situationer som begränsar detta, t ex bokföringslagen eller fullgörandet av ett tecknat avtal.
  • Kraven på information i samband med att man samlar in personuppgifter blir mer detaljerade.
Vem ska följa dataskyddsförordningen?
GDPR gäller alla företag och organisationer som behandlar personuppgifter om en fysisk person som är verksam inom EU, även oss som ideell organisation!

Hur påverkar detta EFS och Salts verksamhet?

Inte alls och helt och hållet.

EFS och Salts verksamhet med gudstjänster, föreningar, ungdomsgrupper, läger osv blir inte på något sätt olaglig. Men vi behöver tänka till hur, var och vem som ansvarar för de personuppgifter som behövs för att vår verksamhet ska fungera. Det behövs antagligen också utformas nya rutiner och städas en hel del av sådana personuppgifter som vi inte längre behöver och har rätt att spara.

Vad ska vi göra i vår förening för att följa GDPR?

Arbeta tillsammans Salt-förening och EFS-förening

Den lokala hanteringen och lagringen av personuppgifter görs normalt i nära samverkan mellan EFS och Salt. Därför rekommenderar vi att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma rutiner som underlättar för alla i verksamheten att veta vad som gäller.

Prata om det i styrelsen

Styrelsen som ansvarar för att dataskyddsförordningen följs, är så kallad personuppgiftsansvarig. Det är aldrig en enskild individ som står som ansvarig för organisationens hantering och kan inte bli skyldig att betala för sanktionsavgifter. Utse dock gärna någon eller några i er förening som får i uppgift att lära sig mer om dataskyddsförordningen och leda föreningen in i att hitta de rutiner som krävs. Gör gärna en handlingsplan där ni definierar vad som ska göras, vem som ska göra vad, när det ska vara gjort och hur det ska redovisas.

Hur ser det ut idag?

Fundera på hur er hantering av personuppgifter ser ut idag.

  • Vilka samlar in/hanterar personuppgifter för föreningens räkning och hur?
  • Vilka personuppgifter behandlar vi?
  • I vilka system och register utöver NGO PRO behandlar vi dessa personuppgifter och på vilken laglig grund?
  • Hur avgör vi vilka uppgifter vi behöver samla in?

Som stöd här finns det ett dokument för kartläggning att ladda ner under Resurser. Läs mer om vilka lagliga grunder EFS och Salt rekommenderar under frågor och svar.

Vilka risker finns?

GDPR syftar till att stärka skyddet för personuppgifter. Prioritera därför ert arbete utifrån en riskanslys:

  • Vilken typ av uppgift har störst risk att leda till skador eller kränkningar för individen om de sprids?
  • Vilken av sätten att behandla uppgifter vi använder idag bär störst risker för att misslyckas med att leva upp till kraven?
Vilka principer har vi?

EFS och Salt utformar gemensamt en personuppgiftspolicy för central nivå. I den policyn står vilka principer EFS och Salt har för lagring och hantering av personuppgifter. Policyn kommer att uppdateras löpande. Fundera på vad som gäller i er förening.

  • Kan vi använda samma princip?
  • Hur skapar vi rutiner för att följa principerna, tex gallring och sekretesskrav?
  • Vad behöver förbättras?
  • Vilken dokumentation behöver vi för att minnas?
Städa, rensa och arkivera!

Det kommer att finnas personuppgifter som föreningen har sparade som inte behöver sparas. Kanske hela register, antagligen delar av register och troligt mycket ostruktukturerat material. Tanken med GDPR är förstås att de principer ni har för gallring och arkivering ska skötas löpande men så här initialt behövs en arbetsinsats där ni går igenom, styr upp vilka som har tillgång till vad, slänger och arkiverar.

  • Vilka sparade personuppgifer behöver vi egentligen inte längre och kan slänga?
  • Vilka har tillgång till föreningens sparade personuppgifter?

Det kartläggningsdokument som finns att ladda ner under resurser kan vara till hjälp i denna analys. Se info om arkivering under frågor och svar!

Informera mera!

En viktig del av GDPR är att man som individ ska få tydlig, lättförståelig information om var mina personuppgifter finns sparade och i vilket syfte. Här behöver varje förening initialt se till att alla personer som har personuppgifter lagrade hos föreningen vet om det och de policys och rutiner för personuppgifterna som ni beslutat om. Fundera på:

  • Vilken information behöver vi skicka ut till våra medlemmar?
  • Vilken information behöver finnas på vår hemsida/i kontakt med nya personer?
Sluta inte!

Arbetet att följa Dataskyddsförordningen GDPR är inte ett engångsprojekt som kan avslutas. Så länge verksamhet pågår och personuppgifter sparas behöver arbetet med att följa förordningen fortgå. Glöm inte det!

NGO PRO som resurs för föreningar

Vad är NGO?

NGO PRO är EFS och inom kort även Salts centrala medlemsregister där både anställda och ideella loggar in för att uppdatera medlemsinformation. Detta sker på Riksnivå, distriktsnivå och på lokalföreningsnivå. Detta för att så många som möjligt ska kunna hjälpas åt med att hålla medlemsregistret uppdaterat. Alla medlemmar som registreras i NGO får även Budbäraren hemskickad till sig, om man inte fyller i att medlemmen inte vill ha tidningen.

Systemet bygger på behörigheter utifrån organisationsträdet som gör att man bara kan se uppgifter i sin egna förening/distrikt. De som är registrerade kan få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.

Hur ska vi använda det lokalt?

Vi rekommenderar föreningar att utse en eller ett par lokala adressadministratörer som loggar in och uppdaterar sina medlemmars kontaktuppgifter. Detta är också bra för att det är säkrare att logga in själv och uppdatera personuppgifter, än att till exempel maila dessa till Riks.

I NGO PRO kan föreningen även registrera olika så kallade “roller” på medlemmar eller aktiva som har olika uppdrag i föreningen. Det kan till exempel vara aktiva i olika ansvarsgrupper, eller de som är intresserade av olika ämnen. Detta innebär att föreningar kan ha färre antal separata listor, utan då är informationen istället bakom en säker inloggning. Utifrån detta så kan föreningarna göra utskick till sina medlemmar och aktiva i föreningen.

Hur kommer vi igång med NGO?

För att sätta upp en struktur med uppdrag som ska kopplas till medlemmar eller aktiva i NGO PRO eller för att få en inloggning för att registrera medlemmar, kontakta Matilda enligt uppgifterna på denna sida. Mer information om NGO PRO, samt kopplingar mellan NGO och GDPR kommer på ett seminarium som Matilda håller på EFS årskonferens i Luleå.

Resurser att ladda ner

Kontakt

Ansvarig EFS

Matilda Mäkelä Olofsson

matilda.m.olofsson@efs.nu

018–430 25 16

Ansvarig Salt

Markus Holmström

markus.holmstrom@efs.nu

018–430 25 82

Frågor och svar om GDPR

Fakta om GDPR

Vad är en personuppgift?

Dataskyddsförordningen definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. Det är alltså mycket mer än vad en kanske först tror.

Gäller lagen även utskrivna papper?

GDPR gäller för alla personuppgifter som föreningen/företaget hanterar. Oavsett om det finns i strukturerade register eller i så kallat ostrukturerat material. Men därmed gör inte GDPR att man inte får ha utskrifter eller ostrukturerat material, man ska bara se till att följa GDPR i sin hantering av dem och att man har korrekta lagliga grunder med fullgjord informationsplikt.

Vilka lagliga grunder finns det för att lagra personuppgifter?

Personuppgifter får behandlas med stöd av en eller flera  av följande lagliga grunder:

  1. Samtycke: Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.
  2. Avtal: Säkerställ att uppgiftsbehandlingen är nödvändig exempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.
  3. Annan lag: Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.
  4. Liv och hälsa: Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.
  5. Myndighetsutövning: Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
  6. Intresseavvägning: Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.
Vad är ett biträdesavtal?

I de fall externa parter får del av organisationens/föreningarnas personuppgifter behövs ett avtal med den externa parten för att reglera hur parten ska använda uppgifterna. Det kan till exempel vara ett företag som säljer medlemssystem eller ett tryckeri som distribuerar ett medlemsblad direkt till adresser. Den externa parten är då ett biträde till organisationen.

EFS, Salt och GDPR

Hur delar EFS och Salt register med varandra?

EFS och Salt har ett gemensamt medlemsregister i NGO PRO. Detta ger de bästa förutsättningarna för oss att bedriva vår verksamhet då tex både barn och vårdnadshavare finns i samma register. EFS och Salt tecknar ömsesidiga biträdesavtal för att kontrollera delandet av personuppgifterna. Genom systemets funktionalitet kring sekretess kan vi styra tillgången till personuppgifterna på ett enkelt och kontrollerat sätt.

Vilken laglig grund vill vi ha för medlemskap i EFS och Salt?/ Vilka lagliga grunder rekommenderas för tex lägeranmälan eller medlemskap?

Detta är en komplex fråga på många sätt. Oftast har samma person flera engagemang som kräver olika lagliga grunder för hantering av personuppgifter. Nedan följer dock en mycket förenklad uppställning över de lagliga grunderna och i vilka sammanhang de rekommenderas att användas inom EFS och Salt.

Laglig grund Används till
a. Samtycke Bilder/Filmer

Ev distribution av personuppgifter i en matrikel

Delande av personuppgifter till extern part

b. Avtal Medlemskap i föreningen

Anställningar

c. Annan lag Ekonomiska transaktioner (Bokföringslagen)
d. Liv och hälsa
e. Myndighetsutövning Arkiv
f. Intresseavvägning Personuppgifter i protokoll mm

Förtroendevaldas och anställdas kontaktuppgifter på hemsidan

Varför behöver vi ha 12 siffrors personnummer på medlemmar?

Vi måste ha fullständigt personnummer för att kunna undvika dubbletter och uppfylla de krav som GDPR ställer på att uppgifterna i vårt centrala register NGO PRO är “korrekta och uppdaterade”.

Praktiskt ger personnumret som unikt personuppgift för alla fysiska personer de bästa förutsättningarna för att tillsammans kunna hjälpas åt inom EFS och Salt att hålla NGO PRO korrekt och uppdaterat. Personnummer är också sättet att kunna uppdatera adresser mot Skatteverkets register.

 

Varför raderar man inte utträdda medlemmar direkt?

Vi raderar inte personuppgifterna till utträdda medlemmar direkt, då många som utträder går in i en ny förening som medlem ganska snart efter. Då fortsätter vi att skicka Budbäraren och annan information till personen under övergångsperioden. Dessutom kan personen ha flera anledningar att finnas i NGO PRO, exempelvis vara givare.

Vad är ett arkiv? Vad ska arkiveras?

Vad är ett arkiv?

Arkivet består av de handlingar som upprättats i verksamheten eller har kommit till föreningen och blivit kvar där. Det behöver inte vara pappershandlingar, det kan också vara information som finns lagrad i datorer som föreningen har eller på andra medier som film eller ljudband.

Vad är det som ska sparas av föreningens handlingar?

Jo, det som rör föreningens verksamhet, eller det som är föreningens egna handlingar, allt från protokoll och årsberättelser eller andra handlingar som rör beslut, bokslut/räkenskaper mm.

Vad kan man slänga och när?

Om ni på ett tidigt stadium skiljer på sådant som ska bevaras och sådant som kan gallras, vinner ni i längden mycket tid. Alltså, om ni redan när ni tar emot eller framställer en handling vet hur ni ska hantera den – sparas för alltid (bevaras), slängas direkt (rensas) eller slängas om något år (gallras).

Arkivet ska spegla föreningens verksamhet och tjäna som föreningens minne!

Kan jag som är ledare ha en utskriven medlemslista i min pärm?

Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.

Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.

Bilder, media och kommunikation

Vi använder bilder på barn från vår verksamhet i foldrar och på hemsidan – måste vi radera dessa?

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av dataskyddsförordningen. Det är bäst att ni inhämtar samtycke från vårdnadshavaren till att få publicera bilderna.

Får vi publicera mingelbilder från vårt event för att informera om vår verksamhet?

Samtycke som rättslig grund kan bli onödigt krångligt, inte minst för att det kan vara svårt att inhämta samtycke om det är många personer på bilden. Ni kan därför behöva hitta en annan rättslig grund.Vi antar att ert syfte är att ni vill informera om er verksamhet. För ett företag kan publiceringen då vara tillåten enligt den rättsliga grunden intresseavvägning.

För det krävs att företagets intresse av att publicera bilderna för att informera om verksamheten väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Dokumentera hur ni har resonerat när ni har gjort den avvägningen. Personerna som är med på bilderna har rättigheter enligt dataskyddsförordningen. Informera därför besökarna på eventet om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Informera också om vem de ska kontakta.

Ni måste inte samla in namn på alla som är med på bilderna endast för att kunna följa reglerna i förordningen. Men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i förordningen. (Källa: Datainspektionen)

Vi har ett medlemsblad som går till våra medlemmar – kan vi skicka ut det och publicera bilder och andra personuppgifter i det?

Medlemsblad är att betrakta som medlemsinformation som motiveras som en del i avtalet för medlemskap i EFS/Salt. På samma grund skickas EFS Missionstidning Budbäraren och nyhetsmejl från EFS riks och region ut till alla medlemmar.

Gällande rättigheter för bilder är det alltid bäst att ha skriftligt samtycke till publicering om bilden är en personuppgift (personen i fråga är identifierbar på bilden). Det kan dock bli onödigt krångligt och den lagliga grunden intresseavvägning kan i vissa fall åberopas. Läs mer under frågan Får vi publicera mingelbilder från vårt event för att informera om vår verksamhet?.

Salt – barn och unga

Kommunen ställer krav på att vår förening har närvaroförteckningar, hur ska dessa hanteras?

Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.

Behöver barn vårdnadshavares tillstånd för att finnas med i register?

GDPR har speciella krav för att skydda personuppgifterna för barn under 16 år i barnens användande av informationssamhällets tjänster. Skyddet är utformat så att personuppgifter inte får sparas utan vårdnadshavarens tillstånd. Exakt hur detta ska tolkas råder fortfarande oklarheter om men EFS och Salt gör följande bedömning utifrån den information som finns tillhanda idag (2018-04-18): Medlemskap i Salt eller anmälan till ett läger, även om själva anmälan sker digitalt, är inte att betrakta som en av informationssamhällets tjänster.

Dock är det viktigt att göra rimliga och seriösa ansträngningar för att informera vårdnadshavare om medlemskapet och vad det innebär.

I fråga om anmälningar till läger mm ska rimliga ansträngningar göras för att säkerställa att vårdnadshavare godkänner att personuppgifterna sparas enligt de syften som definieras vid anmälan (det avtal som tecknas vid anmälan). Här gör EFS och Salt bedömningen att betalningsförfarandet av en lägeravgift är att betrakta som en rimlig ansträngning.