GDPR för medlemmar - Personuppgifter i verksamheten
Välkommen till samlingssidan för GDPR med information om hur vi framöver ska behandla personuppgifter. Den här sidan kommer att uppdateras allt eftersom med mer information, rutiner och länkar.
Vad måste ni göra?
• Register över personuppgifter
Varje lokalförening respektive distrikt är en egen juridisk person. Det är respektive styrelse som ansvarar för att de personuppgifter som förekommer i den egna verksamheten behandlas lagligt och korrekt. En förutsättning för att kunna uppfylla den skyldigheten är att styrelsen har kännedom om var och hur personuppgifter faktiskt behandlas. Varje lokalförening respektive distrikt behöver därför ha ett eget register över behandlingar.
Om ni inte redan har ett register finns här både instruktion och mall för GDPR-register.
• Titta framåt och börja jobba efter GDPR
Använd den rutinsamling för personuppgiftsbehandling som tagits fram. Där ges praktisk handledning för hur ni ska göra med protokoll, deltagarförteckningar, kontaktlistor av olika slag, bilder och epost.
• Informera
Se till att vår uppdaterade integritetspolicy är känd och finns tillgänglig. Integritetspolicyn är antagen av styrelsen och gäller för hela Rädda Barnen. I den står det också att vi är gemensamt ansvariga i många avseenden och att den som har frågor eller vill utöva sina rättigheter kan vända sig både direkt till er eller till riksförbundet oavsett var hens uppgifter finns.
• Ha kunskap nog att reagera
Ni behöver veta vad ni ska göra om någon vill ha ett registerutdrag eller vill bli raderad. Ni behöver också veta vad ni ska göra om en incident inträffar. Det minsta ni behöver veta är så mycket att ni reagerar om något känns fel eller verkar konstigt och att ni då vänder er till medlem@rb.se med er fråga.
Bra att veta är:
• GDPR gäller ideella organisationer, alltså även oss.
• Storlek på föreningen spelar ingen roll.
• Styrelsen ansvarar för den behandling som sker i föreningen.
• Bokföringslagen går före GDPR.
• Om vi inte kan visa att vi har gjort rätt riskerar vi mycket höga sanktionsavgifter (2-4 % av årsomsättningen).
Vad är dataskyddsförordningen (allmänt kallad GDPR)?
- Är en EU-lagstiftning som gäller direkt i Sverige och i alla andra medlemsstater i EU.
- Har fokus på att skydda individen och hens personliga integritet.
- Ger bland annat individen en rätt att få veta vilka personuppgifter som finns registrerade, en rätt att få uppgifter rättade och en rätt att bli bortglömd.
- Givetvis finns också en rätt att säga nej till att få utskick och erbjudanden.
- Inga förarbeten finns som kan ge hjälp till hur lagen ska tolkas.
Vad är en personuppgift?
Personuppgift är alla uppgifter som direkt eller indirekt kan identifiera en fysisk, nu levande, person t ex namn, personnummer, telefonnummer, adress, fingeravtryck, foto, mejladress, kontonummer, IP-nummer och lokaliseringsuppgift (GPS-koordinater).
Vad är behandling?
Är i princip allt vi gör med en personuppgift - till exempel samlar in, lagrar, ändrar, raderar, skriver in eller skickar vidare. Det spelar inte någon roll om det sker digitalt eller manuellt.
När vi skickar ett mejl använder vi personuppgifter i form av mejladressen (om den består av för- och efternamn). När vi tar in anmälningar till en utbildning eller skickar runt ett papper som deltagarna vid en aktivitet skriver ner sitt namn och ev kontaktuppgifter på för att sedan få del av presentationen eller annat material.
Principer att hålla sig till
Det finns några principer som är bra att hålla sig till för att göra rätt.
1. Den personliga integriteten ska skyddas
- Se det som om vi lånar personernas information. De ska veta vad vi har och vad vi gör med den. De ska också kunna ta tillbaka den när de vill och då får vi inte längre använda den.
- Personuppgifterna ska vara korrekta d v s rättstavade namn, rätt adress kopplad till rätt person, mejladresser som inte studsar.
- Personuppgifterna ska skyddas mot förvanskning och radering d v s det är viktigt att det inte blir fel och kontroll är lättare att ha om inte för många personer har tillgång och back up-system måste finnas.
- Personuppgifterna ska skyddas mot otillbörlig åtkomst, det vill säga bara den eller de som ska komma åt uppgifterna ska göra det. Det gäller att ha inloggningsskydd på alla prylar och att fråga sig vem som behöver vilka uppgifter.
2. Ta bara in nödvändiga uppgifter
- Fråga dig alltid om du behöver alla uppgifter. Behövs både namn, adress, telefonnummer och mejl vid en anmälan till en aktivitet eller utbildning?
3. Spara inte längre än nödvändigt
- Radera eller avidentifiera personuppgifter när de inte längre behövs.
- Rensa e-posten. Inget ska sparas där.
- Dela dokument på samarbetsytor i stället för att skicka kopior av samma dokument fram och tillbaka.
4. Användandet av uppgifterna ska vara knutet till oss och vår verksamhet
5. Informera innan/i samband med att uppgifterna tas in
- Informera om syftet t ex anmälan, deltagande, påverkan/opinionsbildning.
- Informera också om, och i så fall, vad mer vi vill göra med personuppgifterna.
- Informera om vår fullständiga integritetspolicy (länk ovan och nedan) länka och/eller ha med ett ex att läsa.
6. Vi ska kunna visa att vi har gjort rätt
- Följ de riktlinjer och rutiner som lämnas.
- Sätt upp integritetspolicyn på anslagstavlan.
Rättigheter att uppfylla
Den vars personuppgifter vi samlat in eller har fått tillgång till på något sätt har en rad rättigheter. Vi ska kunna ge en kopia på de uppgifter vi har (både lokalt och centralt). En person har också rätt att få felaktiga uppgifter rättade, säga nej till marknadsföringsutskick men också en rätt att få alla eller vissa uppgifter raderade.
Den som vill göra sina rättigheter gällande har rätt att vända sig antingen till berörd lokalförening/distrikt eller till riksförbundet. Om någon vänder sig till er hör av er omgående till dataskyddsansvarig på kansliet (dataskyddsansvarig@rb.se eller ring via växeln) för hjälp och stöd.
När någon vänt sig direkt till riksförbundet kommer ni att bli kontaktade av er VU med frågan om en viss person finns registrerad hos er, var uppgifterna finns och vilka de är.
Det är nu ni kommer få verklig nytta av det register över personuppgiftsbehandlingar som ni ska ha upprättat.
Intrång
Intrång i den personliga integriteten genom att t ex medlemsförteckningen hamnat i fel händer, att deltagarförteckningar sparats på privat dator utan inloggningsskydd eller att lösenordet till er föreningsmejl är känt av fler än de som ska ha tillgång ska rapporteras och följas upp.
I vissa fall ska de vars uppgifter spridits underrättas.
Händer en incident kontakta omgående dataskyddsansvarig på kansliet dataskyddsansvarig@rb.se. Fyll så gott du kan i blanketten för personuppgiftsincident innan du kontaktar kansliet. Det viktiga är att kansliet får en bild av vad det är som har hänt.
Om en incident är så pass allvarlig att den ska rapporteras till Datainspektionen så ska det ske inom 72 timmar från upptäckten av det inträffade. Ett intrång ska därför alltid behandlas skyndsamt
Olika typer av dokument
Praktiska rutiner om hur olika typer av dokument ska hanteras finns för:
- Bilder (foton på personer) och GDPR
- Deltagarförteckningar
- Kontaktlistor
- Protokoll
- Epost
För ovan nämnda punkter, se dokumentet Rutinsamling för personuppgiftsbehandling
Syftet med rutinerna är att ge mer handgripliga instruktioner för hur vi behandlar personuppgifter i vanligt förekommande situationer. Ytterligare ett syfte är att tydliggöra vilken information som ska lämnas till de registrerade och vilken rättslig grund behandlingen stöder sig på.
Teknisk och organisatorisk säkerhet
Den tekniska säkerheten är av stor betydelse när det kommer till att uppfylla de krav GDPR ställer på oss. Av den anledningen kommer det ställas nya krav på lokalföreningar och distrikt. Ni kommer sannolikt att hänvisas till att enbart använda Office 365 och de lösningar för mejl och dokumenthantering som finns där. Det kommer inte vara möjligt att fortsätta att spara föreningshandlingar på privat hårddisk eller i privata molntjänster.
Enda alternativet till Office 365 kommer vara att ha all föreningsdokumentation i pappersform.
En felaktig behandling (spara på privat hårddisk eller i privat molntjänst) utsätter Rädda Barnen för risk att drabbas av sanktionsavgifter.
GDPR i praktiken
Titta på vårt webbinarium om GDPR.
Policys och andra dokument
Läs vår integritespolicy
Här finns integritetspolicyn på engelska: Privacy Policy
Hur hanterar ni personuppgifter?
Här finns instruktioner kring GDPR-register och en mall som ni ska fylla i - likt en kartläggning över vilka personuppgifter ni har, var de förvaras och hur de förvaras.
Kontakt
Har ni frågor och funderingar är ni välkomna att mejla Camilla Sjödahl, jurist och ansvarig för GDPR-frågor på medlem@rb.se.
Länkar
Integritetsskyddsmyndighetens hemsida: GDPR vägledning