Personuppgiftshantering

Hur arbetar Aktiv Ungdom med den nya Dataskyddsförordningen (GDPR)?

Aktiv Ungdoms arbete med implementering av Dataskyddsförordningen är ett omfattande projekt som löper över flera områden.

Framtagande av Aktiv Ungdoms uppförandekod

Aktiv Ungdom upprättar en uppförandekod för organisationens behandling av personuppgifter som ska klargöra och skapa enhetlighet för personuppgiftsbehandling inom organisationen. Uppförandekoden ska fungera som riktlinjer för ’best practice’ av personuppgiftsbehandlingar inom verksamheten. Koden berör förbunds-, distrikts- och föreningsadministration, medlemsregister m.m. Uppförandekoden kommer att kompletteras med instruktioner och malldokumentation, som till exempel registerförteckning och formulär för begäran av registerutdrag, som ska underlätta för föreningar, distrikt och förbund att uppfylla sina skyldigheter under Dataskyddsförordningen.

Uppförandekoden med tillhörande instruktioner och malldokumentation kommer att kommuniceras inom organisationen, men ska ses som ett levande dokument och kommer att aktualiseras vid behov.

Tekniska förändringar i MedlemOnline

Aktiv Ungdom ser över MedlemOnline och dess verktyg och inför successivt nya funktioner och anpassningar. Åtgärderna syftar till att möta kraven i Dataskyddsförordningen och handlar exempelvis om behörigheter, åtkomst och att minimera uppgifter och lagring. Inom ramen för det tekniska förändringsarbetet pågår även kontinuerliga översyner av säkerhetsarbetet.  

Aktiv Ungdoms interna GDPR-tillämpningsprojekt 

Aktiv Ungdom arbetar fortlöpande med att se över den interna verksamheten och implementera de nya kraven på personuppgiftsbehandling. Det omfattar alla delar av Förbundet Aktiv Ungdom.

Vad finns det för stöd för föreningar och distrikt?

I den uppförandekod och de mallar som Aktiv Ungdom tar fram kommer föreningar och distrikt att få vägledning i hur personuppgifter kan behandlas. Aktiv Ungdom arbetar både med stöd som ska underlätta föreningars arbete med Dataskyddsförordningens regler och med anpassningar i MedlemOnline.

 

Vad kan föreningarna göra?

Inom Aktiv Ungdom behandlas personuppgifter i olika sammanhang. Redan nu bör föreningen:

Skapa medvetenhet om Dataskyddsförordningen 

Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er förening/distrikt är medvetna om att personuppgiftslagen kommer att ersättas av Dataskyddsförordningen.

Planera för implementering under 2018

Ni bör planera för att med stöd av uppförandekod och instruktioner implementera Dataskyddsförordning under 2018.  

Kartlägga föreningens behandling av personuppgifter

Ni bör kartlägga vilka personuppgifter organisationen hanterar, på vilket sätt personuppgifter behandlas, vilka som har tillgång till personuppgifter samt i vilka system personuppgifter behandlas. Använd gärna mallen registerförteckning.

GDPRs påverkan i nuläget

Hur påverkar den nya lagstiftningen föreningarna?

För Aktiv Ungdom innebär det mer specifika regler kopplat till vilka personuppgifter som får behandlas och på vilket sätt personuppgifter behandlas inom en organisation. Det påverkar samtliga ställen där personuppgifter finns såsom medlemsregister, e-post, sociala medier, hemsidor och liknande.

Eftersom personuppgifter är alla de uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person går det inte att göra en uttömmande lista på allt som anses vara personuppgifter. Några exempel är namn, personnummer, e-postadresser, bilder, telefonnummer och adress.

Vad händer nu och framöver?

Dataskyddsförordningen ger utrymme för vissa, idag ännu inte kända, nationella bestämmelser. 

Förordningen kommer därför att kompletteras med en ny svensk dataskyddslag som inte än har antagits. Förordningen och den nya dataskyddslagen kommer tillsammans att ersätta personuppgiftslagen (PUL) i sin helhet. Inom de allra flesta organisationer pågår nu ett förberedande arbete, likaså hos tillsynsmyndigheten i Sverige, Datainspektionen. 

Personuppgiftsinformation som kan efterfrågas av medlemmar

Det här behöver finnas med i informationen:

Vem som är ansvarig för att personuppgifterna hanteras. Detta är vanligtvis din styrelse som ska utse personuppgiftsansvarig samt en ersättare för denna. Informationen ska inkludera kontaktuppgifter till föreningen.  

Varför uppgifterna samlas in och hur de ska användas. 

Vilken den rättsliga grunden är; exempelvis för att uppfylla ett avtal med kunden.

Hur länge du kommer att spara uppgifterna; till dess att föreningen uppfyllt sina åtaganden gentemot sin bidragsgivare.

Om du angett samtycke som den rättsliga grunden måste föreningen också informera om att personen alltid har rätt att dra tillbaka sitt samtycke, vilket innebär att du måste sluta skicka marknadsföring till personen.

Att den person vars uppgifter du registrerar har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om hen.

Att din förening är skyldig att radera eller rätta uppgifter som är felaktiga, ofullständiga eller missvisande. Se nedan vilka grunder som kan anges för radering

Varje person har rätt att vända sig till en förening eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser hen raderas. Uppgifterna måste raderas i följande fall:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse
  • Om personuppgifterna har behandlats olagligt
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Om uppgifter raderas på den enskildes begäran måste föreningen också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats.

Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut. När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.

Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse eller utföra en uppgift av allmänt intresse.