Vad föreningar behöver tänka på enligt dataskyddsförordningen, GDPR

Ni behöver tänka på att behandla era medlemmars personuppgifter enligt följande principer:

• Ändamålsbegränsning: Samla bara in uppgifter för specifika ändamål och behandla inte uppgifterna senare för ett annat ändamål. Exempel: Om ni har samlat in uppgifter för att administrera medlemskap ska ni inte senare behandla uppgifterna för att profilera medlemmar för till exempel riktad marknadsföring.
• Uppgifts minimering: Samla bara in de uppgifter som är relevanta för ändamålet. Exempel: Om ni bara behöver namn och telefonnummer för att administrera medlemskap ska ni inte registrera personnummer för att "det kan vara bra att ha".
• Korrekthet: Se till att ha korrekta uppgifter och uppdatera dem vid behov. Exempel: Se till att ha lämpliga rutiner på plats för att säkerställa att felaktiga personuppgifter rättas.
• Lagringsminimering: Spara inte uppgifterna under en längre tid än nödvändigt. Exempel: Om en medlem avslutar sitt medlemskap ska ni radera medlemmens personuppgifter om uppgifterna inte längre behövs för att administrera eller avsluta medlemskapet.

Informera era medlemmar

När ni samlar in uppgifter om en medlem måste ni informera medlemmen om bland annat

• vem som är personuppgiftsansvarig och hur man kontaktar den personuppgiftsansvariga (oftast föreningens styrelse)
• vilka personuppgifter ni behandlar (till exempel namn och adress)
• varför ni behandlar dessa personuppgifter (för vilket ändamål och med vilken rättslig grund)
• vilka mottagare som ska ta del av uppgifterna (till exempel en samarbetspartner)
• om ni tänker överföra personuppgifter till ett så kallat tredjeland (land utanför EU/EES).

Ni måste även informera era medlemmar om deras rättigheter. De har bland annat rätt att

• få tillgång till sina personuppgifter
• få felaktiga personuppgifter rättade
• få sina personuppgifter raderade om uppgifterna inte längre är
• nödvändiga
• få veta hur länge ni kommer att lagra personuppgifterna
• lämna in klagomål till IMY.

För att uppfylla informationsplikten behöver ni gå ut med ovanstående information till såväl nya som gamla medlemmar.

Registrerades rätt till tillgång

Era medlemmar har rätt att få information och tillgång till de personuppgifter ni behandlar om dem i form av ett utdrag. I dataskyddsförordningen står det utförligt vad ett registerutdrag ska innehålla. Bland annat ska ni lämna information om vilka personuppgifter som behandlas, varifrån dessa personuppgifter kommer, för vilket syfte personuppgifterna behandlas, vilka mottagare personuppgifterna lämnas till och hur länge personuppgifterna sparas.

Dokumentera ert arbete med personuppgifter

Ni måste skriva ner era rutiner för att behandla personuppgifter. Detta kallas register över behandling. Registret ska vara skriftligt, vara tillgängligt i elektroniskt format för IMY och hållas uppdaterat. Registret ska innehålla information om

• namn och kontaktuppgifter till den personuppgiftsansvariga (oftast styrelsen)
• varför ni behandlar personuppgifter (syftet med behandlingen av personuppgifterna)
• vilka kategorier av personer och personuppgifter ni behandlar (till exempel uppgifter om medlemmar i en bostadsrättsförening och deras adress och telefonnummer)
• eventuella externa mottagare av personuppgifterna och om ni för
• över uppgifter till ett så kallat tredjeland (land utanför EU/EES)
• tidsfrister för radering, det vill säga hur länge uppgifterna sparas (om möjligt)
• vilka säkerhetsåtgärder ni använder när ni behandlar personuppgifterna (om möjligt).

Skydda personuppgifterna

Ni är ansvariga för att skydda personuppgifterna som ni behandlar på ett bra sätt. Detta gör ni genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Vad som är en lämplig säkerhetsnivå beror på bland annat vilken typ av personuppgifter det handlar om, hur omfattande personuppgiftsbehandlingen är och varför ni behandlar personuppgifterna. Det beror också på vilka risker behandlingen kan innebära för medlemmarnas rättigheter och friheter. 

Exempel på säkerhetsåtgärder är att

• kryptera känsliga personuppgifter
• begränsa åtkomst till personuppgifterna
• installera skydd mot skadlig kod (antivirus).

Rapportera personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som ni behandlar. Den kan innebära risker för medlemmarnas friheter och rättigheter. En personuppgiftincident ska ni anmäla till oss inom 72 timmar efter den har upptäckts.

Exempel på personuppgiftsincidenter:

• Ni tappar bort ett USB-minne med personuppgifter.
• Någon gör ett dataintrång på er server.
• Någon obehörig tar del av personuppgifterna.

Ta reda på om ni behöver ett dataskyddsombud

Vissa föreningar behöver utse ett dataskyddsombud. Dataskyddsombudets roll är att kontrollera att ni följer dataskyddsförordningen inom organisationen, genom att till exempel utföra kontroller och informationsinsatser.

Exempel på föreningar som kan behöva utse ett dataskyddsombud:

• religiösa och politiska föreningar

• föreningar som riktar sig mot människor med funktionsnedsättningar

• hbtq-föreningar.

Om ni som förening har som kärnverksamhet att behandla känsliga personuppgifter bör ni läsa vidare om dataskyddsombud.

Teckna ett biträdesavtal om ni lämnar ut personuppgifter

Om ni lämnar ut personuppgifter till någon utanför er förening som ska behandla uppgifterna för er räkning, till exempel för att göra ett utskick till era medlemmar, behöver ni upprätta ett avtal med den ni lämnar uppgifterna till – till det så kallade personuppgiftsbiträdet. Avtalet som ska upprättas kallas biträdesavtal och ska bland annat innehålla instruktioner för hur personuppgiftsbiträdet får behandla personuppgifterna. 

Källa: www.imy.se

Integritetsskyddsmyndigheten (IMY) arbetar för att skydda alla dina personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer.