Dataskyddsförordningen, GDPR


När Dataskyddsförordningen började gälla i Sverige 25 maj 2018 fick Sverige en lagstiftning som gäller i hela EU. På den här sidan kan hembygdsföreningar läsa om vad som är viktigt att ha koll på när det gäller hantering av personuppgifter.


Det är den enskilda föreningens ansvar att sätta sig in i vad som gäller och sedan se över hur man hanterar sina medlemmars, och andras personuppgifter. Integritetsskyddsmyndigheten (tidigare Datainspektionen) är ansvarig för att informera om och övervaka hur dataskyddsförordningen följs. På Integritetsskyddsmyndighetens webbplats hittar du den bästa informationen om vad som gäller.

Dataskyddsförordningens syfte

Syftet med dataskyddsförordningen är att stärka det personliga skyddet, exempelvis genom att personer har rätt att få ut information om var man förekommer med sina uppgifter och rätt att bli borttagen från register.

Som ägare av register är man bland annat skyldig att…
  • sprida kunskap om Dataskyddsförordningen inom organisationen.
  • se över vilka personuppgifter organisationen hanterar och lagrar.
  • ta bort onödig information och adresslistor.
  • anmäla eventuella intrång eller risk att uppgifter hamnat i orätta händer, till dataskyddsinspektionen.

Börja med att dokumentera

Det viktigaste att börja med är att dokumentera register och ha kontroll över de personuppgifter man lagrar:
  • Lär er mer om Dataskyddsförordningen genom att läsa på Integritetsskyddsmyndighetens webbplats: www.imy.se
  • Dokumentera hur ni gör idag. Vilka register har ni och varför sparar ni på personuppgifterna? Finns personuppgifter på andra ställen än i register? I mail eller i dokument på papper och i datorer? Läs om hur dokumentationen ska se ut på Integritetsskyddsmyndighetens webbplats (rubriken "Artikel 30. Register över behandling").
    Tips! Ta upp frågan om GDPR och hur ni ska dokumentera er hantering, i styrelsen och se till att hanteringen protokollförs. Det visar att ni tar ansvar för de regler som gäller.
  • Gör egna riktlinjer för hur ni ska jobba med registren i enlighet med Integritetsskyddsmyndighetens regler.

Att informera och ta in samtycke

Era medlemmar behöver få veta vilka personuppgifter som ni sparar. Ett bra tillfälle för detta är när en person blir medlem och ni tar in personuppgifter första gången. Om ni inte redan berättat för era befintliga medlemmar vilka personuppgifter ni sparar behöver ni göra det, exempelvis när ni tar in den årliga medlemsavgiften. I vissa fall behöver ni dessutom få deras samtycke.

I samband med detta, se till att…
  • ...informera om varför ni behöver spara personuppgifter för att kunna tillhandahålla ett medlemskap, dvs för att kunna föra register och kommunicera. Berätta vilka personuppgifter ni behöver spara, tex namn, telefonnummer, adress och mejladress samt hur länge ni sparar personuppgifterna, tex till dess personen utträder som medlem. Sparar ni uppgifterna längre än så behöver ni berätta vilka skäl ni har för det. Berätta också om det är fler som får tillgång till informationen (tredje part), till exempel leverantören av ert registerprogram. Berätta gärna att enda sättet att få dessa uppgifter raderade är genom att avsluta medlemskapet.
  • …vid behov, be om samtycke (dvs godkännande) för personuppgifter som inte behövs för att kunna tillhandahålla ett medlemskap, tex uppgifter om intressen, yrke mm. Berätta varför ni behöver dessa personuppgifter och hur länge samtycket är giltigt, till exempel till dess medlemmen avslutar medlemskapet. Berätta också hur man gör för att få uppgifter raderade, exempelvis vem man ska kontakta. Ha gärna en kryssruta som personen måste sätta ett kryss i och en anslutande text av typen: "Ja, jag godkänner att (föreningens namn) får lagra mina uppgifter om (ange personuppgifterna) i enlighet med beskrivningen ovan”.

Ni kan också förtydliga för medlemmarna att ni inte kommer sprida vidare deras personuppgifter till tredje part, dvs andra organisationer och företag.

Förslag på formuleringar

Generell information

”Vi hanterar personuppgifter i enlighet med Dataskyddsförordningen - GDPR. Läs mer på www.imy.se. Har du frågor eller synpunkter, kontakta föreningen på [email protected] eller 011-22 33 44”.

Texten kan exempelvis användas på föreningens hemsida, på sidor där ni informerar om medlemskap eventuellt också på en egen sida med länk från menyn.

Information om hantering av personuppgifter

”För att kunna tillhandahålla medlemskap sparar vi följande personuppgifter: Namn, telefonnummer, adress och e-postadress.”

Texten kan exempelvis användas vid tecknande av medlemskap, på inbetalningskort eller formulär på hemsidan.

Medgivande

”Genom att kryssa i rutan godkänner du att vi sparar information om ditt nuvarande yrke, t o m 31 februari när projektet avslutas. Vill du att informationen tas bort, kontakta föreningen på [email protected] eller 011-22 33 44”.

Texten kan exempelvis användas i samband med anmälningar och beställningar, på hemsidan eller i pappersform.

Publicering av bilder på föreningens hemsida

Bilder från aktiviteter

Föreningar behöver inte avstå från att fotografera vid aktiviteter och visa på hemsidan, av rädsla för att bryta mot GDPR. Men det finns det några saker man behöver tänka på. Även om skillnaden kan vara hårfin är det skillnad på människor i närbilder och bilder från längre avstånd

Om du tar närbilder, bestäm vilka personer du vill ha närbilder på. Fråga om de vill ställa upp på bild, antingen i förväg via mejl eller telefon, eller på plats. Se till att de skriftliga samtycken som krävs via mejl innan eller via blankett på plats sparas på ett bra ställe. Du behöver inte fråga offentliga personer (höga chefer, generaldirektörer och liknande).

Om du tar bilder från längre avstånd, var noga med att inte komma enskilda människor nära genom att hålla ett visst avstånd, undvika att fokusera på enstaka människor, inte fotografera personer rakt framifrån, och så vidare. Om möjligt, informera före aktiviteten, på hemsidan eller i inbjudan, att bilder kommer att tas (hänvisa gärna till den rättsliga grunden allmänt intresse). Om någon ifrågasätter den lagliga grunden och helt enkelt inte vill var med på bild, hitta en lösning där personen kan delta utan att riskera att hamna på bild. Det är också bra att på plats informera på affischer, i program och liknande att föreningen kommer att fotografera. Informera om vem man ska kontakta om man inte vill vara med på bild.

Publicering av andra bilder på nu levande personer

I Sveriges hembygdsförbunds policy för Hembygdsportalen finns rekommendationer kring publicering av uppgifter om nu levande personer på Hembygdsportalen. Rekommendationerna betonar vikten av att det som publiceras är av allmänt intresse. Det är också viktigt att föreningen beskriver sin verksamhet och är tydliga med hur man kommer i kontakt med dem. På detta sätt kan föreningar i Hembygdsportalen hävda allmänt intresse vid publicering av nu uppgifter om levande personer. Läs mer i Sveriges hembygdsförbunds policy för Hembygdsportalen (pdf).

Är du ändå osäker på vad du ska göra?

Börja med att tänka så här:
  • Har ni gjort fel tidigare? Prioritera i första hand er plan, dvs era riktlinjer, för den framtida hanteringen!
  • Gör så gott ni kan och börja med de största riskområdena!

Integritetsskyddsmyndigheten informerar och ger stöd

På Integritetsskyddsmyndighetens webbplats www.imy.se (tidigare www.datainspektionen.se) hittar du mer information vad som gäller för Dataskyddsförordningen. Du kan också ta kontakt med Integritetsskyddsmyndigheten via kontaktuppgifter som du hittar på deras webbplats. 

Frågor

Har du frågor om upphovsrätt för innehållet på Hembygdsportalen, kontakta [email protected]

Länkar:

Skapad av: Olov Norin (2018-03-06 19:31:13) Kontakta föreningen
Ändrad av: System Admin (2021-11-17 13:32:08) Kontakta föreningen