Vare sig du är en ideell förening eller ett företag så brukar de flesta hantera personuppgifter i någon form. Vi ger dig en snabb sammanställning över hur de skärpta kraven GDPR påverkar dig.
Den 25'e maj slutar PUL att gälla och ersätts istället av den nya dataskyddsförordningen GDPR. Behöver du bry dig? Det enkla svaret är Ja, men frågan är lite mer komplex än att säga gör si eller så för att undvika dryga böter på upp till 25 miljoner euro.
OK bra - men vart ska jag börja?
Följer du redan PUL till punkt och pricka så följer du redan GDPR till stor del. Men se till att skaffa dig god koll på läget innan GDPR träder i kraft den 25'e maj. Det finns egentligen ingen anledning att vänta utan sätt igång redan idag.
Se till att skaffa dig bra koll på:
- Vilka personuppgifter hanterar / lagrar du idag?
- Vart lagrar du dem (vilka system)?
- Vilka har åtkomst till dem (används de t.ex för reklam)?
- Vilken rättslig grund har du för att lagra uppgifterna?
För att hjälpa dig att komma igång så har vi har satt ihop en praktisk handbok för den idella föreningen och företagaren som du kan ladda ner gratis på följande länkar: Handboken till föreningen, Handboken till företaget
Vad räknas som en personuppgift?
Det finns en definition i PUL, men GDPR kommer med en uppdatering av definitionen utifrån den explosion vi har sett av digital innovation som har gett upphov till nya sätt att spåra och hålla koll på individer. Värt att tänka på är att den "gamla" PUL trädde i kraft innan både Google och Facebook fanns som gjorde det möjligt att hantera och sprida uppgifter på ett helt annat sätt än vad PUL kunde föreställa sig.
En personuppgift är allt som kan knytas till en individ - om du tänker som en detektiv så kommer du snart inse att det är väldigt många olika typer av uppgifter som man kan använda för att identifiera en fysisk person. Det är t.ex, Personnummer (såklart), email, ett medlemsnummer, en IPadress, registreringskylt på bilen, ditt Facebook/Twitter namn och till och med fotografier.
Vissa personuppgifter klassar GDPR som känsliga och ska hanteras på ett mer restriktivt sätt, oftast så kommer det krävas att uppgifterna krypteras eller på annat sätt görs oläsbara för personer utan åtkomst. En känslig uppgift är t.ex hälsoinformation (allergier, sjukfrånvaro), facktillhörighet och religion.
Om det inte är absolut nödvändigt så bör du undvika att behandla känsliga uppgifter alternativt radera dem så snart du inte längre behöver dem. Om du t.ex behöver samla in matpreferenser inför en Cup som du arrangerar så är det bra att direkt efter cupen radera dessa uppgifter.
Personens rättigheter
Syftet med GDPR är att stärka skyddet av individens rätt till personlig integritet.
Alla individer har rätt att få detaljerad och lättförståelig information om hur deras personuppgifter kommer behandlas, vad syftet är med insamlingen och vilka rättigheter som individen har.
De som registrerar har rätt att få ett registerutrdrag av sina egna uppgifter och att få felaktiga uppgifter rättade.
Vad betyder detta? Ett registerutdrag kan som ett exempel vara att en medlem ska få tillgång till all information ni har samlat in om dem , förhoppningsvis så har du det samlat i ett medlemsregister och då är det enkelt. Men ibland så finns uppgifterna spridda i flera system och då blir det lite mer komplicerat. Det betyder även att du inte längre kan lagra information som du vet är felaktig - Vissa medlemssystem kräver t.ex att en person har ett personnummer för att läggas till varpå man brukar fylla i 0000 på de fyra sista siffrorna. Nu blir det intressant. Tänk om medlemmen inte vill dela med sig av sitt fullständiga personnummer? Du kan ju inte med det goda minnet lagra information som du vet är felaktigt?
Personer har rätt att få sina uppgifter raderade - detta kallas rätten att bli bortglömd. Självklart får du spara uppgifter som krävs för att uppfylla andra åtaganden du har som t.ex redovisning eller att en rekrytering har gått till helt enligt diskrimineringslagstiftningen.
När får jag behandla personuppgifter - rättslig grund
PUL säger redan idag att samtycke är en huvudregel för att hantera personuppgifter men GDPR skärper definitionen en aning.
Ett samtycke ska vara klart, tydligt och avskilt från andra frågor. Tvingande samtycken gäller inte längre. Det betyder att du inte längre kan knöka in ett samtycke i ett längre avtal eller ha föribockade kryssrutor.
Men en av de viktigaste bitarna, något som vi alla kommer få se en stor förändring av - är att ändamålet med insamlingen ska framgå klart och tydligt i samband med att individen lämnar sina uppgifter. Det ska dessutom vara lika enkelt att ta tillbaka sitt samtycke som det är att ge det.
Men behöver du få samtycke för all information? Självklart inte! Du får hantera personuppgifter om det krävs för att fullfölja ett avtal eller om du har en annan rättslig grund.
Du bör redan idag ta reda på med vilken rättslig grund du hanterar personuppgifter idag.
Är du en ideel förening? Då rekommenderar vi dig att etablera medlemsavtal mellan föreningen och dina medlemmar för att göra det mycket enklare att efterleva GDPR.
Hantera inte personuppgifter via mail!
e-mail är något som har underlättat kommunikationen avsevärt. Men det är samtidigt väldigt lätt att personuppgifter hanteras i en e-mail växling. I PUL så fanns något som kallas ett undantag för ostrukturerat material, och detta inkluderar hemsidor och e-mail.
Med GDPR så försvinner undantaget för ostrukturerat material - det betyder att personuppgifter som du t.ex hanterar via e-mail eller på hemsidor omfattas av GDPR.
Ett vanlig sak vi har noterat är att många föreningars medlemsansökan går till att man fyller i ett formulär på en hemsida, innehållet skickas sedan via e-post till föreningen som registrerar uppgifterna. Detta är något som ni enkelt kan undvika med ett smartare medlemsregister som t.ex CoachHippo
Larma när data läcker!
Dataintrång är tyvärr ganska vanligt, du har säkert läst i tidningar att nu är flera tusen e-mailadress läckta från företag X. Incidenter där personuppgifter riskerar att hamna i fel händer ska rapporteras till Datainspektionen - inom 72h efter att läckan har inträffat. I vissa fall så kommer du även behöva informera alla personer vars uppgifter har läckts.
Det är inget kul att behöva kontakta sina kunder och medlemmar och berätta om en sån här tråkig sak så se till att ha tydliga rutiner på plats och säkerställ att du har valt en leverantör av ditt CRM / Medlemsregister som brinner för den personliga integriteten och uppfyller de krav som GDPR ställer på systemleverantörer.
Radera information som inte används
En personuppgift får endast sparas när den är korrekt och nödvändig för det ändamål du uppgav till individen vid ögenblicket för insamlandet. Adress, arbetsgivare/roll och mobilnummer är ett exempel på uppgifter som brukar ändras ganska frekvent - var har du för rutiner på plats för att säkerställa att dessa alltid är uppdaterade och korrekta? Så sluta samla in icke fullständiga personnummer och annan information som inte är absolut nödvändig.
Om du är en ideel förening så är det smart att ge dina medlemmar möjlighet att självkla få tillgång till och uppdatera sina personuppgifter. CoachHippo har smarta verktyg som hjälper dig att hålla ditt medlemregister uppdaterat och aktuellt.
Konsento hjälper föreningar och företag att skapa och hantera medlemsavtal, hantera samtycken och föra ditt register över personuppgiftsbehandlingar. Du kan kontakta mig om du vill veta mer om hur Konsento kan hjälpa din förening eller företag: fredrik@konsento.io