GDPR-resurser EFS och Salt
Senaste uppdatering gjord: 2022-03-16
Klicka här för att avregistrera din mobil från Insamlings- och/eller Tack-SMS.
Informera mer – spara mindre
Den 25 maj 2018 trädde EU:s nya dataskyddsförordning (eng. GDPR, General Data Protection Regulation) i kraft och ersatte den svenska personuppgiftslagen, PUL. Under den här sidan samlar vi information som vi hoppas kan hjälpa lokalföreningens arbete inom EFS och Salt med att se över sin hantering av personuppgifter och säkra att den sker på ett sätt som följer förordningen.
OBS! Denna sida uppdateras löpande.
Här har vi försökt samla och klargöra det vi vet och vilka steg som er förening bör ta just nu. Innehållet på denna sida är förenklat och förkortat. Målet är inte att ge en heltäckande bild av GDPR och vad det betyder för oss, utan att fokusera på det viktiga och det centrala.
OBS! Vi på EFS och Salt Riks ger inte juridisk rådgivning, utan vi delar med oss av information kring, samt vår tolkning av, Dataskyddsförordningen GDPR.
Kort introduktion till GDPR
Syfte
Syftet med dataskyddsförordningen GDPR är att stärka skyddet och rättigheterna för fysiska personer avseende behandling av deras personuppgifter. Mycket påminner om PUL men i väsentliga delar är kraven högre, och de undantag som fanns i PUL för “ostrukturerad data” (missbruksregeln) gäller inte längre. Med ostrukturerad data menas bland annat löpande text, enklare listor, bilder och filmer, protokoll och e-post.
Sju grundprinciper
- Man får bara behandla personuppgifter om man uppfyller kraven i lagen.
- Man får bara samla in personuppgifter för ett angivet syfte.
- Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
- Har man personuppgifter måste man hålla dem korrekta och uppdaterade.
- När syftet är uppnått ska uppgifterna tas bort.
- Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
- Man ska kunna bevisa att man uppfyller alla dessa krav.
Ett par nyheter jämfört med gamla personuppgiftslagen PUL
- När det gäller ”Samtycke” som rättslig grund för databehandling, ställer dataskyddsförordningen högre krav på hur det är utformat.
- Under PUL (Personuppgiftslagen som den här lagen ersätter) fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln”, har tagits bort och även material i ostrukturerad form omfattas av dataskyddsförordningen.
- Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.
- Rätten att ”bli glömd”. Den registrerade kan begära att få sina uppgifter borttagna. Det finns dock vissa andra lagar eller situationer som begränsar detta, t ex bokföringslagen eller fullgörandet av ett tecknat avtal.
- Kraven på information i samband med att man samlar in personuppgifter blir mer detaljerade.
Vem ska följa dataskyddsförordningen?
GDPR gäller alla företag och organisationer som behandlar personuppgifter om en fysisk person som är verksam inom EU, även oss som ideell organisation!
Hur påverkar detta EFS och Salts verksamhet?
EFS och Salts verksamhet med gudstjänster, föreningar, ungdomsgrupper, läger osv förändras inte i sig. Men vi behöver tänka till hur, var och vem som ansvarar för de personuppgifter som behövs för att vår verksamhet ska fungera. Personuppgifter måste samlas in och sparas, men reglerna för hur detta sker är delvis förändrade och nya rutiner gäller.
Vad ska vi göra i vår förening för att följa GDPR?
Arbeta tillsammans Salt-förening och EFS-förening
Den lokala hanteringen och lagringen av personuppgifter görs normalt i nära samverkan mellan EFS och Salt. Därför rekommenderar vi att arbetet med att följa dataskyddsförordningen också görs tillsammans. På detta sätt kan ni hjälpas åt att hitta gemensamma rutiner som underlättar för alla i verksamheten att veta vad som gäller.
EFS som riksorganisation är huvudansvarig för det gemensamma digitala medlemsregistret, men hanteringen av personuppgifterna är ett delat ansvar för oss alla; lokalt, regionalt och på riksplanet.
Prata om det i styrelsen
Styrelsen som ansvarar för att dataskyddsförordningen följs, är så kallad personuppgiftsansvarig. Det är aldrig en enskild individ som står som ansvarig för organisationens hantering och kan inte bli skyldig att betala för sanktionsavgifter. Utse dock gärna någon eller några i er förening som får i uppgift att lära sig mer om dataskyddsförordningen och leda föreningen in i att hitta de rutiner som krävs. Gör gärna en handlingsplan där ni definierar vad som ska göras, vem som ska göra vad, när det ska vara gjort och hur det ska redovisas.
Hur ser det ut idag?
Fundera på hur er hantering av personuppgifter ser ut idag.
- Vilka samlar in/hanterar personuppgifter för föreningens räkning och hur?
- Vilka personuppgifter behandlar vi?
- I vilka system och register utöver NGO PRO behandlar vi dessa personuppgifter och på vilken laglig grund?
- Hur avgör vi vilka uppgifter vi behöver samla in?
Som stöd här finns det ett dokument för kartläggning att ladda ner under Resurser. Läs mer om vilka lagliga grunder EFS och Salt rekommenderar under frågor och svar.
Vilka risker finns?
GDPR syftar till att stärka skyddet för personuppgifter. Prioritera därför ert arbete utifrån en riskanslys:
- Vilken typ av uppgift har störst risk att leda till skador eller kränkningar för individen om de sprids?
- Vilken av sätten att behandla uppgifter vi använder idag bär störst risker för att misslyckas med att leva upp till kraven?
Vilka principer har vi?
EFS och Salt utformar gemensamt en personuppgiftspolicy för central nivå. I den policyn står vilka principer EFS och Salt har för lagring och hantering av personuppgifter. Policyn kommer att uppdateras löpande. Fundera på vad som gäller i er förening.
- Kan vi använda samma princip?
- Hur skapar vi rutiner för att följa principerna, tex gallring och sekretesskrav?
- Vad behöver förbättras?
- Vilken dokumentation behöver vi för att minnas?
Städa, rensa och arkivera!
Det kommer att finnas personuppgifter som föreningen har sparade som inte behöver sparas. Kanske hela register, antagligen delar av register och troligt mycket ostruktukturerat material. Tanken med GDPR är förstås att de principer ni har för gallring och arkivering ska skötas löpande men så här initialt behövs en arbetsinsats där ni går igenom, styr upp vilka som har tillgång till vad, slänger och arkiverar.
- Vilka sparade personuppgifer behöver vi egentligen inte längre och kan slänga?
- Vilka har tillgång till föreningens sparade personuppgifter?
Det kartläggningsdokument som finns att ladda ner under resurser kan vara till hjälp i denna analys. Se info om arkivering under frågor och svar!
Informera mera!
En viktig del av GDPR är att man som individ ska få tydlig, lättförståelig information om var mina personuppgifter finns sparade och i vilket syfte. Här behöver varje förening initialt se till att alla personer som har personuppgifter lagrade hos föreningen vet om det och de policys och rutiner för personuppgifterna som ni beslutat om. Fundera på:
- Vilken information behöver vi skicka ut till våra medlemmar?
- Vilken information behöver finnas på vår hemsida/i kontakt med nya personer?
Sluta inte!
Arbetet att följa Dataskyddsförordningen GDPR är inte ett engångsprojekt som kan avslutas. Så länge verksamhet pågår och personuppgifter sparas behöver arbetet med att följa förordningen fortgå. Glöm inte det!
Frågor och svar om GDPR
Fakta om GDPR
Vad är en personuppgift?
Dataskyddsförordningen definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.
Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress eller en bild. Det är alltså mycket mer än vad en kanske först tror.
Gäller lagen även utskrivna papper?
GDPR gäller för alla personuppgifter som föreningen/företaget hanterar. Oavsett om det finns i strukturerade register eller i så kallat ostrukturerat material. Men därmed gör inte GDPR att man inte får ha utskrifter eller ostrukturerat material, man ska bara se till att följa GDPR i sin hantering av dem och att man har korrekta lagliga grunder med fullgjord informationsplikt.
Vilka lagliga grunder finns det för att lagra personuppgifter?
Personuppgifter får behandlas med stöd av en eller flera av följande lagliga grunder:
- Samtycke: Inhämta samtycke från den registrerade, i möjligaste mån och med förtydligande om att samtycke kan återkallas utan att det är till nackdel för den som väljer det. En arbetsgivare bör till följd av den anställdes beroende enbart i undantagsfall begära samtycke från en anställd.
- Avtal: Säkerställ att uppgiftsbehandlingen är nödvändig exempelvis som ett led i att fullgöra ett avtal mellan verksamheten och den uppgifterna avser såsom fullgörande av anställningsavtalet eller annan överenskommelse med en anställd.
- Annan lag: Uppgiftsbehandlingen kan vara nödvändig för att en verksamhet ska kunna fullgöra en rättslig förpliktelse som följer av de lagar som reglerar verksamheten beträffande skatteredovisning, försäkringar, arbetsmiljöansvar och liknande eller kollektivavtal och förpliktelser gentemot de anställdas fackförbund.
- Liv och hälsa: Laglig grund är också hantering av uppgifter i syfte att skydda fysisk persons liv och hälsa.
- Myndighetsutövning: Behandling som behövs för att fullgöra arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning.
- Intresseavvägning: Laglig grund är också den behandling av uppgifter som behövs för att tillgodose ett berättigat intresse hos verksamheten om detta intresse väger tyngre än den registrerades integritet. Uppgifter om personalens anhöriga kan behövas för att säkerställa kontakt i händelse av arbetsplatsolycka eller sjukdomstillbud exempelvis.
Vad är ett biträdesavtal?
I de fall externa parter får del av organisationens/föreningarnas personuppgifter behövs ett avtal med den externa parten för att reglera hur parten ska använda uppgifterna. Det kan till exempel vara ett företag som säljer medlemssystem eller ett tryckeri som distribuerar ett medlemsblad direkt till adresser. Den externa parten är då ett biträde till organisationen.
Om vi ska använda samtycke som laglig grund, gäller då muntligt samtycke?
”Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.” Det är svårt att bevisa ett muntligt samtycke. Läs mer om det här.
EFS, Salt och GDPR
Hur delar EFS och Salt register med varandra?
EFS och Salt har ett gemensamt medlemsregister i NGO PRO. Detta ger de bästa förutsättningarna för oss att bedriva vår verksamhet då tex både barn och vårdnadshavare finns i samma register. EFS och Salt tecknar ömsesidiga biträdesavtal för att kontrollera delandet av personuppgifterna. Genom systemets funktionalitet kring sekretess kan vi styra tillgången till personuppgifterna på ett enkelt och kontrollerat sätt.
Vilken laglig grund vill vi ha för medlemskap i EFS och Salt?/ Vilka lagliga grunder rekommenderas för tex lägeranmälan eller medlemskap?
Detta är en komplex fråga på många sätt. Oftast har samma person flera engagemang som kräver olika lagliga grunder för hantering av personuppgifter. Nedan följer dock en mycket förenklad uppställning över de lagliga grunderna och i vilka sammanhang de rekommenderas att användas inom EFS och Salt.
Laglig grund | Används till |
a. Samtycke |
Bilder/Filmer Ev distribution av personuppgifter i en matrikel Delande av personuppgifter till extern part |
b. Avtal |
Medlemskap i föreningen Anställningar |
c. Annan lag | Ekonomiska transaktioner (Bokföringslagen) |
d. Liv och hälsa | |
e. Myndighetsutövning | Arkiv |
f. Intresseavvägning |
Personuppgifter i protokoll mm Förtroendevaldas och anställdas kontaktuppgifter på hemsidan |
Varför behöver vi ha 12 siffrors personnummer på medlemmar?
Vi måste ha fullständigt personnummer för att kunna undvika dubbletter och uppfylla de krav som GDPR ställer på att uppgifterna i vårt centrala register NGO PRO är “korrekta och uppdaterade”.
Praktiskt ger personnumret som unikt personuppgift för alla fysiska personer de bästa förutsättningarna för att tillsammans kunna hjälpas åt inom EFS och Salt att hålla NGO PRO korrekt och uppdaterat. Personnummer är också sättet att kunna uppdatera adresser mot Skatteverkets register.
Varför raderar man inte utträdda medlemmar direkt?
Vi raderar inte personuppgifterna till utträdda medlemmar direkt, då många som utträder går in i en ny förening som medlem ganska snart efter. Då fortsätter vi att skicka Budbäraren och annan information till personen under övergångsperioden. Dessutom kan personen ha flera anledningar att finnas i NGO PRO, exempelvis vara givare.
Vad är ett arkiv? Vad ska arkiveras?
Vad är ett arkiv?
Arkivet består av de handlingar som upprättats i verksamheten eller har kommit till föreningen och blivit kvar där. Det behöver inte vara pappershandlingar, det kan också vara information som finns lagrad i datorer som föreningen har eller på andra medier som film eller ljudband.
Vad är det som ska sparas av föreningens handlingar?
Jo, det som rör föreningens verksamhet, eller det som är föreningens egna handlingar, allt från protokoll och årsberättelser eller andra handlingar som rör beslut, bokslut/räkenskaper mm.
Vad kan man slänga och när?
Om ni på ett tidigt stadium skiljer på sådant som ska bevaras och sådant som kan gallras, vinner ni i längden mycket tid. Alltså, om ni redan när ni tar emot eller framställer en handling vet hur ni ska hantera den – sparas för alltid (bevaras), slängas direkt (rensas) eller slängas om något år (gallras).
Arkivet ska spegla föreningens verksamhet och tjäna som föreningens minne!
Föreningen
Kan vi använda EFS centrala NGO PRO för både medlemmar i EFS föreningen och för de som endast är medlemmar i aktiviteter? Kan vi i så fall skapa valfritt antal egna grupper som vi lägger in våra registrerade personer i?
Deltagare i aktivitet får ni i regel hantera externt från NGO PRO.
Får vi spara tex. e-postadresser från deltagare i ett “event” i flera år framåt för att sedan kunna använda dessa för att upplysa om liknande “event”?
Intresseavvägning borde fungera som laglig grund för detta. Dock måste ni kunna söka upp mailadressen och radera den om någon begär det. Ni omfattas också av informationsplikten och måste informera om att ni kommer att spara mailadresserna för att kontakta dem om eventuella framtida event.
Måste vi ha speciella biträdesavtal med våra leverantörer av molntjänster? Tex Google?
Företagen vill att vi fortsätter att använda deras tjänster och de vet att det krävs biträdesavtal, så många har själva uppdaterat sina användarvillkor som vi kan bocka i och godkänna. Alltså hör de flesta leverantörer av sig, men inte alla.
Kan vi fortsätta med att maila personuppgifter?
Det dock står ingenstans i lagen att man inte får maila personuppgifter. Men det står att man ska ”vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken” i artikel 32.1. Så om man till exempel behöver kontakta registeransvarig på EFS om en medlem som finns i det gemensamma registersystemet NGO PRO, så kan man maila medlemsnumret istället för personuppgifter. Se mer om detta under ”NGO PRO som resurs för föreningar”.
Får vi fortsätta med att trycka upp en medlemsmatrikel och sprida den bland våra medlemmar?
Om ni ska sprida en matrikel med personuppgifter där alla kan se vilka som är medlemmar i er förening så är det värt att tänka över om ni ska inhämta samtycke för detta från era medlemmar. Detta då det räknas som personuppgifter av särskild känslig karaktär när man är med i en religiös organisation och därför ska man vara försiktig med att sprida den infon. Även om man får hantera de uppgifterna enligt undantaget i artikel 9.2 som vi beskriver tidigare, så är det ändå viktigt att man tar till ”lämpliga skyddsåtgärder” som det står på samma ställe i förordningen. Tänk därför igenom om det risk för att matrikeln hamnar i fel händer, hos någon som är utanför organisationen/organet? Se EFS personuppgiftspolicy med mer info om hur vi definierar ”organet”.
Måste vi i föreningen utse Personuppgiftsansvarig?
Personuppgiftsansvarig är föreningens styrelse, vilket betyder att de är ansvariga för att GDPR efterföljs. En individ kan aldrig bli personligt ansvarig och behöva betala sanktionsavgifter. När det gäller medlemsuppgifter så är föreningarnas styrelse gemensamt personuppgiftsansvarig med EFS styrelse, enligt vår tolkning i dagsläget. Detta på grund av att både Riks och lokalföreningarna vill ha in medlemsuppgifterna, samt för att många av oss delar det centrala medlemssystemet som är NGO PRO.
Det är dock bra att ha någon utsedd att ansvara för arbetet med personuppgifter & dataskydd.
Måste vår förening utse Dataskyddsombud (DPO)?
Nej, inte enligt vår tolkning. EFS Riks kommer inte att anmäla något Dataskyddsombud till Datainspektionen även om vi hanterar känsliga personuppgifter i vår kärnverksamhet vilket då egentligen betyder att man måste ha ett sådant. Detta då vi stödjer oss på undantaget i artikel 9.2 . Det innebär att religiösa organisationer får hantera känsliga uppgifter som gäller ”organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.”
Kan jag som är ledare ha en utskriven medlemslista i min pärm?
Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt. En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.
Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.
Bilder, media och kommunikation
Vi använder bilder på barn från vår verksamhet i foldrar och på hemsidan – måste vi radera dessa?
Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av dataskyddsförordningen. Det är bäst att ni inhämtar samtycke från vårdnadshavaren till att få publicera bilderna.
Får vi publicera mingelbilder från vårt event för att informera om vår verksamhet?
Samtycke som rättslig grund kan bli onödigt krångligt, inte minst för att det kan vara svårt att inhämta samtycke om det är många personer på bilden. Ni kan därför behöva hitta en annan rättslig grund.Vi antar att ert syfte är att ni vill informera om er verksamhet. För ett företag kan publiceringen då vara tillåten enligt den rättsliga grunden intresseavvägning.
För det krävs att företagets intresse av att publicera bilderna för att informera om verksamheten väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter. Dokumentera hur ni har resonerat när ni har gjort den avvägningen. Personerna som är med på bilderna har rättigheter enligt dataskyddsförordningen. Informera därför besökarna på eventet om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Informera också om vem de ska kontakta.
Ni måste inte samla in namn på alla som är med på bilderna endast för att kunna följa reglerna i förordningen. Men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i förordningen. (Källa: Datainspektionen)
Vi har ett medlemsblad som går till våra medlemmar – kan vi skicka ut det och publicera bilder och andra personuppgifter i det?
Medlemsblad är att betrakta som medlemsinformation som motiveras som en del i avtalet för medlemskap i EFS/Salt. På samma grund skickas EFS Missionstidning Budbäraren och nyhetsmejl från EFS riks och region ut till alla medlemmar.
Gällande rättigheter för bilder är det alltid bäst att ha skriftligt samtycke till publicering om bilden är en personuppgift (personen i fråga är identifierbar på bilden). Det kan dock bli onödigt krångligt och den lagliga grunden intresseavvägning kan i vissa fall åberopas. Läs mer under frågan Får vi publicera mingelbilder från vårt event för att informera om vår verksamhet?.
Salt – barn och unga
Kommunen ställer krav på att vår förening har närvaroförteckningar, hur ska dessa hanteras?
Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.
Behöver barn vårdnadshavares tillstånd för att finnas med i register?
GDPR har speciella krav för att skydda personuppgifterna för barn under 16 år i barnens användande av informationssamhällets tjänster. Skyddet är utformat så att personuppgifter inte får sparas utan vårdnadshavarens tillstånd. Exakt hur detta ska tolkas råder fortfarande oklarheter om men EFS och Salt gör följande bedömning utifrån den information som finns tillhanda idag (2018-04-18): Medlemskap i Salt eller anmälan till ett läger, även om själva anmälan sker digitalt, är inte att betrakta som en av informationssamhällets tjänster.
Dock är det viktigt att göra rimliga och seriösa ansträngningar för att informera vårdnadshavare om medlemskapet och vad det innebär.
I fråga om anmälningar till läger mm ska rimliga ansträngningar göras för att säkerställa att vårdnadshavare godkänner att personuppgifterna sparas enligt de syften som definieras vid anmälan (det avtal som tecknas vid anmälan). Här gör EFS och Salt bedömningen att betalningsförfarandet av en lägeravgift är att betrakta som en rimlig ansträngning.
NGO PRO som resurs för föreningar
Vad är NGO?
NGO PRO är EFS och inom kort även Salts centrala medlemsregister där både anställda och ideella loggar in för att uppdatera medlemsinformation. Detta sker på Riksnivå, distriktsnivå och på lokalföreningsnivå. Detta för att så många som möjligt ska kunna hjälpas åt med att hålla medlemsregistret uppdaterat. Alla medlemmar som registreras i NGO får även Budbäraren hemskickad till sig, om man inte fyller i att medlemmen inte vill ha tidningen.
Systemet bygger på behörigheter utifrån organisationsträdet som gör att man bara kan se uppgifter i sin egna förening/distrikt. De som är registrerade kan få ut registerutdrag på sina personuppgifter, få felaktiga personuppgifter rättade eller få sina personuppgifter raderade.
Hur ska vi använda det lokalt?
Vi rekommenderar föreningar att utse en eller ett par lokala adressadministratörer som loggar in och uppdaterar sina medlemmars kontaktuppgifter. Detta är också bra för att det är säkrare att logga in själv och uppdatera personuppgifter, än att till exempel maila dessa till Riks.
I NGO PRO kan föreningen även registrera olika så kallade “roller” på medlemmar eller aktiva som har olika uppdrag i föreningen. Det kan till exempel vara aktiva i olika ansvarsgrupper, eller de som är intresserade av olika ämnen. Detta innebär att föreningar kan ha färre antal separata listor, utan då är informationen istället bakom en säker inloggning. Utifrån detta så kan föreningarna göra utskick till sina medlemmar och aktiva i föreningen.
Hur kommer vi igång med NGO?
För att sätta upp en struktur med uppdrag som ska kopplas till medlemmar eller aktiva i NGO PRO eller för att få en inloggning för att registrera medlemmar, kontakta Matilda enligt uppgifterna på denna sida.
Kontakt
Ansvarig EFS
Bosse Temnéus
dataskydd@efs.nu
018–430 25 82
Ansvarig Salt
Charlotta Nordström
Charlotta.nordstom@efs.nu
018-430 25 88