Du bör se över så att du hanterar medlemsregistret rätt nu när den nya lagen GDPR trätt i kraft. Har du koll på om din förening klarar kraven i GDPR? Här bjuder vi på en översikt av vad som gäller.
Lagar & regler > Klarar föreningen GDPR?
Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom de flesta föreningar påverkas och behöver ta ställning till om man ska söka juridisk rådgivning. De föreningar som är medlemmar i ett förbund bör kontakta detta och fråga om de kan lämna information och råd.
GDPR och föreningen
Den 25 maj 2018 blev den nya europeiska personuppgiftsförordningen, GDPR, lag i Sverige. Om man varit duktig och följt den nuvarande personuppgiftslagen PuL så har man det mesta på plats redan.
Här ska vi översiktligt gå igenom lagen och ge några tips på hur en förening kan anpassa sig.
Vad betyder orden:
- GDPR – Den nya Dataskyddsförordningen. Trädde i kraft 25 maj 2018.
- Datasubjekt – Den som registreras.
- Behandling – Allt man gör med de personuppgifter man har. Också att lagra dem är en behandling. Har ni en personuppgift så behandlar ni den. Punkt.
- Personuppgift – All information som kan knytas till en nu levande person. Några exempel: Namn, adress, personnummer, fotografi, ip-adress, bilnummer.
- Känslig personuppgift – Uppgift om hälsa, religiös eller filosofisk övertygelse, ras eller etniskt ursprung, medlemskap i fackförening, sexuell läggning, biometriska uppgifter (fingeravtryck, iris och liknande).
- Personuppgiftsansvarig – ”PuA”. Den som bestämmer ändamål och medel för behandlingen.
- Personuppgiftsbiträde – ”PuB”. Den som behandlar personuppgifter på uppdrag av PuA.
- Personuppgiftsbiträdesavtal – Måste finnas mellan PuA och PuB. Avtalet reglerar i huvudsak hur PuB får behandla uppgifterna.
Viktigt att veta
För att förstå hur lagen är uppbyggd kan man se det så här:
- Det är förbjudet att behandla personuppgifter, men…
- … det finns några undantag och det är reglerna kring dessa som beskrivs i GDPR.
De lagliga grunder som är mest aktuella för en förening är:
- Samtycke – Man frågar och får lov. Gäller t ex viss marknadsföring.
- Avtal – Föreningens stadgar kan ses som ett avtal med medlemmarna. Den vanliga medlemshanteringen baseras alltså på avtal.
- Lag – Exempel: Om man har någon anställd så reglerar olika lagar detta, till exempel skattelagstiftningen.
När man samlar in personuppgifter så måste man först informera så att den som lämnar uppgifterna får en klar bild av vem man är, vad uppgifterna ska användas till med mera. Några exempel:
- Till vad?
Exempel: Vi behöver uppgifterna till vårt medlemsregister så att vi kan kontakta dig kring föreningens verksamhet.
Vi använder också uppgifterna för att rapportera till riksförbundet. - Hur länge?
Exempel: Vi spar uppgifterna så länge du är medlem och därefter så länge vi är rapporteringsskyldiga för t ex stöd.
Vi publicerar och arkiverar också vissa personuppgifter i resultatlistor och annan dokumentation från föreningens verksamhet, som längst till föreningens upplösning. - Delning?
Exempel: Vi kan komma att dela dina uppgifter med riksförbund, försäkringsbolag och anslagsgivande myndigheter. - Rättigheter: Många att informera om. Du kan läsa mer om dem hos Datainspektionen
- Vad som händer om man inte vill lämna uppgifter: T ex ”Du kan inte bli medlem då.”
Några viktiga nyheter i GDPR
GDPR gäller även för personuppgifter i löpande text, t ex i e-post och dokument, även på papper om de ingår i eller kommer att ingå i ett register.
Att dokumentera sitt arbete med att följa GDPR blir oerhört viktigt. Som PuA har man bevisbördan för att lagen följs. Kan man inte visa det med dokumentation av sina rutiner, system och riskbedömningar så är det i sig ett lagbrott.
Uppföljningar ska göras regelbundet och det ska visas i dokumentationen. Man kan alltså inte ”bli färdig” med sitt GDPR-arbete utan man måste ha koll på att skyddet upprätthålls hela tiden.
Alla sorters föreningar berörs
Oavsett föreningens syfte, om ni är idrotts- eller kultur- eller bostadsrättsförening, och oavsett föreningsformen, om ni är ideell förening eller ekonomisk förening, så berörs ni av lagen. GDPR gäller alla som behandlar personuppgifter.
Här kommer några vanliga exempel:
Medlemsregister
- Namn: För att driva en förening behöver man ju veta vilka som är medlemmar.
- Adress: Post eller e-post. Medlemmar förväntar sig vanligtvis kontakt och dessutom vill föreningen kanske avisera en medlemsavgift.
- Personnummer: Man får inte behandla personnummer om man inte behöver en exakt identifiering. Det kan behövas om man har fakturerat något och ännu inte fått betalt. Det kan också behövas om föreningen får någon form av stöd som baseras på antalet medlemmar. Det kan också krävas i vissa kontakter med riksorganisationer.
Om man registrerar barn så behövs vårdnadshavarens samtycke. Därför ska de informeras och godkänna barnets medlemskap i förväg.
Om man registrerar anhöriga så ska de informeras och lämna sitt samtycke.
Har ni ett politiskt, religiöst, filosofiskt eller liknande syfte så får ni behandla känsliga personuppgifter om det behövs.
Webbplats, Facebook m fl
- Föreningen bör ha en policy för personuppgifter och den bör finnas på föreningens sidor på internet.
- Man får inte lämna ut personuppgifter utan att ha ett uttryckligt samtycke. Man ska kunna dokumentera detta, också vilken information man lämnade innan samtycket erhölls. Ett sätt kan vara att samla in samtycken skriftligt på en speciell blankett.
Kurser, tävlingar och evenemang
- Ofta behöver man hantera information om allergier och annat vid ett evenemang där mat ingår. Detta är information om personens hälsa och det är en känslig personuppgift. Man får behandla den med uttryckligt samtycke men så snart evenemanget är slut så ska den informationen tas bort. I det fallet räknas det som samtycke att personen frivilligt lämnat uppgiften.
- Om den registrerade ger sitt uttryckliga samtycke så kan man lagra uppgiften längre. Till exempel kan en förälder vilja att information om ett barns allergi finns registrerad. Detta samtycke bör man ha skriftligt.
Vem är personuppgiftsansvarig?
Det är föreningen som är personuppgiftsansvarig. Det är styrelsen som ansvarar för att föreningen följer lagen. Det är alltså aldrig en person som är formellt ansvarig, även om föreningen utsett någon att till exempel sköta medlemsregistret.
Styrelsens viktigaste uppgift
GDPR reglerar vad som borde vara en självklarhet, att vi äger våra egna personuppgifter. Som utomstående får vi bara låna uppgifter om andra om vi lovar att skydda dem mot insyn och förvara dem säkert. Det är ett förhållningssätt vi måste ha hela tiden om vi ska kunna sköta den uppgiften. Det kan man bara få genom att skapa medvetenhet och utbilda alla som behöver det.
Förslag på hur man kan börja
Detta är några av de saker styrelsen behöver göra:
- Kartlägga vilka personuppgifter man har, varför och var man har dem.
- Dokumentera detta. GDPR kräver att man har en registerförteckning men den kan behöva kompletteras med rutinbeskrivningar. Ett exempel kan vara om föreningen har en blankett man lägger ut på olika evenemang för att samla in intresseanmälningar. Då hanterar man personuppgifter som ännu inte hamnat i ett register.
- Alla gamla eller överflödiga uppgifter ska raderas.
-
När man vet vilka system man använder så ska man teckna avtal med alla sina biträden. Om man använder en ”molntjänst” så ska man ha biträdesavtal med leverantören.
Använder ni en av Visma Spcs tjänster så har ni redan tecknat biträdesavtal. Det ingår i tjänsteavtalet. - Kontrollera att man fyller lagens krav på vilken information som ska ges när man samlar in uppgifter. Om man finner brister så ska man se till att informera de registrerade snarast.
- Kontrollera att personuppgifterna hanteras säkert. Kanske finns behörighetssystem som borde användas. Om medlemslistor skickas med e-post bör man söka en annan lösning. e-post är närmast jämförbar med vykort.
Tips: Komprimera (zip:a) det som ska skickas och sätt ett lösenord. Skicka den komprimerade filen med e-post och ring eller sms:a över lösenordet.
Sätt upp personuppgiftsskydd som en återkommande punkt på styrelsens dagordning och redovisa arbetet med kontroller och förbättringar i verksamhetsberättelsen.
Veta mer
Datainspektionen är den myndighet i Sverige som ansvarar för och informerar om personuppgiftsskyddet. Besök deras webbplats, det kommer mer information hela tiden.
Vill du veta mer? Kolla in vår sida om GDPR