I nära nog 20 år har personuppgiftslagen – PUL – styrt hur och vem som får hantera personuppgifter. Nu är de dagarna över. Från och med 25 maj 2018 är det GDPR – General Data Protection Regulation – som slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person.
Det har hänt mycket på IT-området de senaste decennierna, bland annat tillkomsten av sociala medier och molntjänster. Det är dags att avlösa nuvarande regelverk. Det är samma regler för alla som behandlar personuppgifter.
Några viktiga definitioner:
- Personuppgiftsansvarig: den som ensam eller tillsammans med annan beslutar om behandling av personuppgifter.
- Personuppgift: alla uppgifter som i ett eller flera steg gör att man kan identifiera en levande person.
- Den registrerade: alla vi.
- Personuppgiftsbiträde: en underleverantör till den personuppgiftsansvarige.
- Information: skyldighet att informera den registrerade om de behandlingar som planeras eller görs.
- Ändamål: varför behandling av personuppgifter görs.
Man får inte samla in fler uppgifter om en person än som erfordras för det uppgivna ändamålet och inte heller förvaras längre tid än som behövs för ändamålet.
Vad behöver en förening göra?
I korthet gäller följande (det kan finnas mer beroende på verksamhet):
- Informera sina medlemmar om de personuppgifter som registreras och om ändamålet. Det vanligaste är kontaktuppgifter så att man kan ge medlemsservice, hantera medlemsavgift, betala ut arvode etc. Personuppgifter i styrelseprotokoll och årsberättelser omfattas också av dataskyddsförordningen.
- Informera om hur länge uppgifterna sparas.
- Informera i de fall uppgifterna förs vidare till en underleverantör som gör datorkörningarna eller håller med server.
- Informera om de uppgifter som enligt lag överförs till offentliga organ.
Hur ska man informera?
Om föreningen har en hemsida kan det vara praktiskt att lägga ut informationen i en särskild, lätt upptäckt, informationsruta. På motsvarande sätt kan man göra en informationsruta på ett pappersdokument. Informationen ska vara på ett språk som mottagaren förstår.
Det gäller att ha bra koll!
Säkerhet vid behandling av personuppgifter är en viktig förutsättning. Det gäller att ha full kontroll på sina digitala verktyg, inklusive USB-minnen, och begränsa vilka personer som ska ha åtkomst. Detsamma gäller när man har en strukturerad manuell hantering. Informationen ovan avser de grundläggande kraven. Det finns många fler krav om man anlitar ett personuppgiftsbiträde, hanterar känsliga personuppgifter och så vidare.
Mycket mer finns att läsa på www.datainspektionen.se
Källa: Infobladet 2017:3, Hela Sverige ska leva Örebro län