GDPR för medlemmar - Personuppgifter i verksamheten

Vad måste ni göra?

• Register över personuppgifter

Varje lokalförening respektive distrikt är en egen juridisk person. Det är respektive styrelse som ansvarar för att de personuppgifter som förekommer i den egna verksamheten behandlas lagligt och korrekt. En förutsättning för att kunna uppfylla den skyldigheten är att styrelsen har kännedom om var och hur personuppgifter faktiskt behandlas. Varje lokalförening respektive distrikt behöver därför ha ett eget register över behandlingar.

Om ni inte redan har ett register finns här både instruktion och mall för GDPR-register.

• Titta framåt och börja jobba efter GDPR

Använd den rutinsamling för personuppgiftsbehandling som tagits fram. Där ges praktisk handledning för hur ni ska göra med protokoll, deltagarförteckningar, kontaktlistor av olika slag, bilder och epost.

• Informera

Se till att vår uppdaterade integritetspolicy är känd och finns tillgänglig. Integritetspolicyn är antagen av styrelsen och gäller för hela Rädda Barnen. I den står det också att vi är gemensamt ansvariga i många avseenden och att den som har frågor eller vill utöva sina rättigheter kan vända sig både direkt till er eller till riksförbundet oavsett var hens uppgifter finns.

• Ha kunskap nog att reagera

Ni behöver veta vad ni ska göra om någon vill ha ett registerutdrag eller vill bli raderad. Ni behöver också veta vad ni ska göra om en incident inträffar. Det minsta ni behöver veta är så mycket att ni reagerar om något känns fel eller verkar konstigt och att ni då vänder er till medlem@rb.se med er fråga.

Bra att veta är:

• GDPR gäller ideella organisationer, alltså även oss.
• Storlek på föreningen spelar ingen roll.
• Styrelsen ansvarar för den behandling som sker i föreningen.
• Bokföringslagen går före GDPR.
• Om vi inte kan visa att vi har gjort rätt riskerar vi mycket höga sanktionsavgifter (2-4 % av årsomsättningen).

Vad är dataskyddsförordningen (allmänt kallad GDPR)?

• Är en EU-lagstiftning som gäller direkt i Sverige och i alla andra medlemsstater i EU.
• Har fokus på att skydda individen och hens personliga integritet.
• Ger bland annat individen en rätt att få veta vilka personuppgifter som finns registrerade, en rätt att få uppgifter rättade och en rätt att bli bortglömd.
• Givetvis finns också en rätt att säga nej till att få utskick och erbjudanden.
• Inga förarbeten finns som kan ge hjälp till hur lagen ska tolkas.

Vad är en personuppgift?

Personuppgift är alla uppgifter som direkt eller indirekt kan identifiera en fysisk, nu levande, person t ex namn, personnummer, telefonnummer, adress, fingeravtryck, foto, mejladress, kontonummer, IP-nummer och lokaliseringsuppgift (GPS-koordinater).

Vad är behandling?

Är i princip allt vi gör med en personuppgift - till exempel samlar in, lagrar, ändrar, raderar, skriver in eller skickar vidare. Det spelar inte någon roll om det sker digitalt eller manuellt.

När vi skickar ett mejl använder vi personuppgifter i form av mejladressen (om den består av för- och efternamn). När vi tar in anmälningar till en utbildning eller skickar runt ett papper som deltagarna vid en aktivitet skriver ner sitt namn och ev kontaktuppgifter på för att sedan få del av presentationen eller annat material.

Principer att hålla sig till

Det finns några principer som är bra att hålla sig till för att göra rätt.

1. Den personliga integriteten ska skyddas

• Se det som om vi lånar personernas information. De ska veta vad vi har och vad vi gör med den. De ska också kunna ta tillbaka den när de vill och då får vi inte längre använda den.
• Personuppgifterna ska vara korrekta d v s rättstavade namn, rätt adress kopplad till rätt person, mejladresser som inte studsar.
• Personuppgifterna ska skyddas mot förvanskning och radering d v s det är viktigt att det inte blir fel och kontroll är lättare att ha om inte för många personer har tillgång och back up-system måste finnas.
• Personuppgifterna ska skyddas mot otillbörlig åtkomst, det vill säga bara den eller de som ska komma åt uppgifterna ska göra det. Det gäller att ha inloggningsskydd på alla prylar och att fråga sig vem som behöver vilka uppgifter.

2. Ta bara in nödvändiga uppgifter

• Fråga dig alltid om du behöver alla uppgifter. Behövs både namn, adress, telefonnummer och mejl vid en anmälan till en aktivitet eller utbildning?

3. Spara inte längre än nödvändigt

• Radera eller avidentifiera personuppgifter när de inte längre behövs.
• Rensa e-posten. Inget ska sparas där.
• Dela dokument på samarbetsytor i stället för att skicka kopior av samma dokument fram och tillbaka.

4. Användandet av uppgifterna ska vara knutet till oss och vår verksamhet

5. Informera innan/i samband med att uppgifterna tas in

• Informera om syftet t ex anmälan, deltagande, påverkan/opinionsbildning.
• Informera också om, och i så fall, vad mer vi vill göra med personuppgifterna.
• Informera om vår fullständiga integritetspolicy (länk ovan och nedan) länka och/eller ha med ett ex att läsa.

6. Vi ska kunna visa att vi har gjort rätt

• Följ de riktlinjer och rutiner som lämnas.
• Sätt upp integritetspolicyn på anslagstavlan.

Rättigheter att uppfylla

Den vars personuppgifter vi samlat in eller har fått tillgång till på något sätt har en rad rättigheter. Vi ska kunna ge en kopia på de uppgifter vi har (både lokalt och centralt). En person har också rätt att få felaktiga uppgifter rättade, säga nej till marknadsföringsutskick men också en rätt att få alla eller vissa uppgifter raderade.

Den som vill göra sina rättigheter gällande har rätt att vända sig antingen till berörd lokalförening/distrikt eller till riksförbundet. Om någon vänder sig till er hör av er omgående till dataskyddsansvarig på kansliet (dataskyddsansvarig@rb.se eller ring via växeln) för hjälp och stöd.

När någon vänt sig direkt till riksförbundet kommer ni att bli kontaktade av er VU med frågan om en viss person finns registrerad hos er, var uppgifterna finns och vilka de är.

Det är nu ni kommer få verklig nytta av det register över personuppgiftsbehandlingar som ni ska ha upprättat.