GDPR, eller den europeiska dataskyddsförordningen, träder i kraft fredagen den 25 maj. Den nya dataskyddsförordningen gäller alla organisationer som hanterar personuppgifter, från företag till föreningar.
I och med den nya lagen bör föreningarna se över sina rutiner för hantering av personuppgifter, men förändringarna är ändå inte något som man behöver vara rädd för. En del gällande implementeringen av lagen är ännu oklart, men nedan tar vi upp några saker som föreningarna kan tänka på.
Tanken med GDPR är att stärka individens rättigheter till och skydd av personuppgifter. Var och en ska ha rätt att veta hur ens personuppgifter används.
GDPR ersätter personuppgiftslagarna i varje land, men grundprinciperna i den tidigare finländska personuppgiftslagen stämmer långt överens med den nya dataskyddsförordningen. Den största förändringen i och med den nya lagen är att det i fortsättningen krävs att de som hanterar personuppgifter ska kunna bevisa att de följer den nya dataskyddsförordningen.
Föreningar är skyldiga att upprätthålla ett medlemsregister över sina medlemmar vilket innebär att GDPR även berör dem. Som förening bör ni alltså utreda vilka personuppgifter ni behandlar (såväl medlemsregister som andra personuppgifter) och se över era rutiner för detta.
- Samla enbart in personuppgifter som är nödvändiga. Ni ska inte samla in personuppgifter som kan vara bra att ha för framtiden, utan det ska vara uppgifter som ni behöver just nu.
- De insamlade personuppgifterna får enbart användas för det specifika, förbestämda, ändamålet som ni till att börja samlar in dem för. Till exempel kan ni inte ta e-postadresser från en kursdeltagarlista och överföra dem till föreningens allmänna infoutskick.
- Spara inte personuppgifter som inte längre behövs. Till exempel radera deltagarlistor efter att evenemanget ägt rum.
- Sprid inte listor med personuppgifter till utomstående. Till exempel medlemsregister ska hanteras enbart av ansvariga personer och bör förvaras på ett säkert ställe där enbart ansvariga har tillgång till dem.
- Kartlägg era register och se över vilka rutiner ni har för hantering och insamling av personuppgifter. Se till att dokumentera detta arbete till exempel i ett styrelseprotokoll. Med den nya dataskyddsförordningen är det nämligen viktigt att ni kan visa på hur ni följer den.
En förening hanterar personuppgifter åtminstone i och med sitt medlemsregister, men även i andra syften. Det får man göra även i fortsättningen men det är viktigt att man kartlägger i vilka situationer som personuppgifter behandlas och varför det är nödvändigt/berättigat i det fallet.
Inom en förening är det vanligaste att man behandlar personuppgifter för följande:
Enligt Föreningslagen bör alla föreningar upprätthålla ett medlemsregister. Detta innebär att ni även i fortsättningen kan samla in nödvändiga personuppgifter på era medlemmar till registret. Medlemsregistret ska hållas uppdaterat och förvaras på ett säkert ställe, vilket gäller alla typer av insamlade personuppgifter.
Föreningen behöver även kunna kommunicera med sina medlemmar och ni kan fortsättningsvis skicka ut era medlemsbrev. Ett råd är dock att mottagarna själva ska kunna avregistrera sig från dessa infoutskick ifall de önskar.
Föreningar har rätt att samla in nödvändiga personuppgifter av deltagarna inför ett specifikt evenemang/kurs, för att sända ut information till deltagarna om det specifika evenemanget och för att fakturera deltagaravgift. Undvik dock att skapa onödiga deltagarlistor och radera dem när det inte längre behövs.
Personuppgifter får finnas med i olika typer av avtal, såsom exempelvis hyresavtal. När det gäller personuppgifter i bokföring, såsom bokslut och verksamhetsberättelse, gäller fortsättningsvis Bokföringslagen.
Kom ihåg att bilder även är personuppgifter och att ni bör fråga personen om lov innan ni tar en bild som ni tänkt använda i er verksamhet. Bilder från föreningens evenemang med mycket folk kan ses som ett berättigat intresse för att informera om föreningens verksamhet. Var dock beredda på att ta bort och radera bilden ifall någon som syns på bilden ber om det.
Det finns inget krav på att uppgöra en så kallad registerbeskrivning för sina register. Den registrerade måste däremot informeras om behandlingen av personuppgifterna. Ett sätt att leva upp till detta är ju då till exempel genom en registerbeskrivning. En mall finns tillgänglig på foreningsresursen.fi.
Det finns mycket information tillgänglig på internet gällande GDPR. Bland annat på foreningsresursen.fi finns bra information om GDPR.
Mycket är ännu nytt och oklart gällande hur den nya lagen ska tolkas, och ingen kräver att ni ska efterleva lagen till fullo direkt. Det viktiga är att inleda en process, och att dokumentera den, gällande hur ni hanterar personuppgifter.
Ni får gärna vända er till SÖU om ni har frågor. Ta kontakt med verksamhetsledare josip(at)sou.fi eller områdesansvarig cecilia(at)sou.fi.
http://www.tietosuoja.fi/sv/