Vägledning om GDPR
Den 25 maj 2018 skärptes reglerna för hantering av personuppgifter i hela EU, som en följd av den nya dataskyddsförordningen, GDPR.
Det här påverkar även HRF. Såväl förbundet som distrikt och föreningar behöver se över arbetsrutiner och vidta en del åtgärder, för att säkerställa att medlemmar, givare och andra vi har kontakt med kan känna sig trygga när de lämnar sina personuppgifter till oss.
Här följer en vägledning för HRFs föreningar och distrikt, med det viktigaste ni behöver känna till och göra med anledning av den nya dataskyddsförordningen, GDPR.
Vad är GDPR?
Dataskyddsförordningen GDPR (General Data Protection Regulation) reglerar hanteringen av personuppgifter och ersätter den nuvarande personuppgiftslagen. Denna EU-lag:
- stärker rättigheterna för den enskilde när det gäller personlig integritet
- ställer krav på redovisning av hur förordningen följs, så kallad ansvarsskyldighet
- ställer krav på kartläggning och dokumentation av behandling av personuppgifter inom en organisation
Vad är en personuppgift?
Personuppgifter är all slags information som direkt eller indirekt kan knytas till en nu levande fysisk person. Vanliga personuppgifter är till exempel namn, adress, telefonnummer och personnummer. Även foton på personer eller en identifierande beskrivning av en person kan vara personuppgifter.
Exempel på personuppgifter som HRFs föreningar/distrikt ofta hanterar är uppgifter från medlemsregistret, anmälningar till evenemang, funktionärslistor, personaladministration, bilder från evenemang, prenumeranter på nyhetsbrev, kontaktpersoner med mera.
Föreningens, distriktets och förbundets ansvar
Den som är medlem i HRF är antingen medlem i en förening eller stödmedlem i förbundet, men medlemsuppgifterna hanteras även av distrikten, i varierande utsträckning. Föreningar, distrikt och förbund har därför ett gemensamt juridiskt ansvar för behandlingen av personuppgifterna i HRFs medlemsregister.
Föreningar och distrikt är egna juridiska personer. Det innebär att varje styrelse har det yttersta ansvaret för att de personuppgifter som respektive förening/distrikt får från eller tar ut från medlemsregistret behandlas på ett korrekt sätt.
Vad behöver föreningen/distriktet göra?
För att uppfylla de krav som den nya dataskyddsförordningen ställer behöver föreningen/distriktet göra följande:
1. Gör en förteckning er hantering av personuppgifter. Inventera och dokumentera vilka personuppgifter ni hanterar, vilken typ av personuppgifter det rör sig om, varför ni hanterar dem (ändamålet) med mera. Med personuppgifter avses allt från digitala medlemslistor till deltagarlistor på papper. Här finns en mall som ni kan använda för förteckningen (excel-fil).
Förteckningen ska bland annat ange följande:
- Vem är ansvarig för förteckningen?
- Vem är kontaktperson för olika register/personuppgiftsbehandlingar?
- Vilka kategorier av personer är registrerade i registret/listan? (medlemmar, andra deltagare och så vidare)
- Vilka personuppgifter finns med i registret/listan? (namn, adress, e-post och liknande)
- Varför sparar och hanterar ni personuppgifterna? Ange syfte.
- Med vilken ”rättslig grund” behandlar ni personuppgifterna? Se sidan ”Rättslig grund för behandling av personuppgifter”, om de fyra kategorier som kan vara aktuella för er.
- När och hur gallrar ni bort personuppgifter som inte längre är aktuella eller används? Personuppgifter får endast sparas så länge de används för det angivna syftet (se nedan).
2. Anta en integritetspolicy för föreningen/distriktet. När ni samlar in personuppgifter behöver ni ange ändamålet med insamlingen. Det kan ni göra i en integritetspolicy, som bland annat förklarar hur ni samlar in och använder personuppgifterna samt vart enskilda kan vända sig om de vill att uppgifterna ska raderas. Standardmallar för integritetspolicys för föreningar/distrikt finns i Dokumentarkivet.
Se till att medlemmar och andra enkelt kan få tillgång till er integritetspolicy. Lägg gärna ut policyn på er webbplats, om ni har en sådan.
3. Informera registrerade personer som inte är medlemmar. Förbundet skickar ut information till alla medlemmar med anledning av GDPR, genom en bilaga i Auris samt mejl till de som har angett e-postadress. Men om er förening/ert distrikt vill spara personuppgifter för icke medlemmar – inklusive tidigare medlemmar – måste ni själva informera dem om att ni har deras personuppgifter, i vilket syfte ni sparar dessa samt vem de ska kontakta för att deras uppgifter ska bli borttagna, om de önskar det.
- Exempel 1: Om ni har en lista med icke medlemmar som varit anmälda till/deltagit på en informationsträff ska ni kontakta dem och berätta att ni har deras personuppgifter och att ni vill ha dem kvar, till exempel för att kunna kontakta dem med inbjudningar till kommande informationsträffar.
- Exempel 2: Har ni en tidning, nyhetsbrev eller liknande, som ni skickar även till personer som inte är medlemmar? Om de inte är prenumeranter, som själva har anmält sig för att få sådana utskick, behöver ni be om samtycke – alltså fråga om lov att få fortsätta skicka nyhetsbrev med mera till dem.
4. Tänk på säkerheten. Det är viktigt att ni hanterar personuppgifter på ett säkert sätt, så att bara behöriga har tillgång till dem. Ni kan begränsa åtkomsten till digitala uppgifter genom inloggning, kryptering, virusskydd med mera. Det kan också handla om att förvara register/listor på papper i låsta utrymmen.
Om ni råkar ut för något som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som ni behandlar – en så kallad ”personuppgiftsincident” – måste ni rapportera det till Datainspektionen inom 72 timmar.
5. Teckna biträdesavtal med samarbetspartners. Om någon utanför föreningen/distriktet ska behandla personuppgifter för er räkning, till exempel ett tryckeri eller en annan organisation som ska göra ett utskick åt er, måste ni upprätta ett så kallat ”personuppgiftsbiträdesavtal” med den ni lämnar uppgifterna till. Avtalet ska bland annat innehålla instruktioner för hur personuppgiftsbiträdet får behandla personuppgifterna.
6. Om GDPR och bokföring. För kontrolluppgifter till Skatteverket gäller bokföringslagen, som säger att bokföring ska sparas i sju år efter räkenskapsårets slut. Det spelar alltså ingen roll att GDPR anger att personuppgifter bara ska sparas så länge det kan motiveras – här går bokföringslagen före. Ni kan däremot inte spara personuppgifter med hänvisning till bokföringslagen om det inte kan motiveras för era räkenskaper.
7. GDPR-råd för era webbsidor. Förbundet har tagit fram några grundläggande råd, som vi har samlat på sidan GDPR för webbredaktörer. Råden gäller hantering och publicering av namn, bilder och andra personuppgifter på föreningars/distrikts webbsidor.
7. Prata om GDPR. Ha gärna med frågan om GDPR och personuppgiftsskydd som en återkommande punkt på styrelsens dagordning, så blir det lättare att ta tag i vad som behöver göras. GDPR kan kännas lite komplicerat nu i början, men det lär troligen klarna efter hand. Eftersom lagen är ny har inte heller jurister alla svar, men så småningom lär det mesta bli tydligare och enklare.
Om GDPR på Hörnet
Här på Hörnet har förbundet listat grundläggande information och flera malldokument som rör GDPR och som kan vara till nytta för distrikt och föreningar. I undermenyn till denna sida hittar ni bland annat Standardmallar för integritetspolicys och GDPR för webbredaktörer.
På Hörnet finns också HRFs Dokumentarkiv, med i stort sett alla dokument som finns uppladdade på olika sidor på Hörnet. Där finns pdf:er och wordfiler med blanketter, policys, inbjudningar och mycket, mycket annat. Under arkivrubriken GDPR hittar ni mallar för föreningens/distriktets arbete med GDPR. Förbundets integritetspolicy ligger emellertid under ”Policys”.
Dataskyddsinspektionen
Dataskyddsinspektionen har skapat en mycket bra avdelning på sin webb som heter Vägledning för föreningar och små organisationer. Sidan innehåller stora delar av den information som är listad ovan, men också annat som kan vara ett bra stöd i ert GDPR-arbete.
Frågor
Har du frågor är du välkommen att kontakta Förbundskansliet.