Skip to content

Pensionärsföreningar och GDPR

GDPR (General Data Protection Regulation) är EUs dataskyddsförordning som ersätter personuppgiftslagarna i medlemsländerna. Målet med förordningen är att säkra skyddet för personuppgifter och de registrerades rättigheter, att besvara nya dataskyddsfrågor relaterade till digitaliseringen och globaliseringen, att harmonisera regleringen av dataskyddet i alla EU-länder och att främja utvecklingen av en inre digital marknad.

I praktiken betyder det om GDPR efterföljs att var och en vet eller kan ta reda på vem som har vilka uppgifter om en och att man själv kan bestämma om vem som skall få spara uppgifter om en.

För en pensionärsförening är det viktigaste att följa reglerna men också dokumentera att man följer dem. Man behöver inte göra en registerbeskrivning som förr och det finns inga formella krav på dokumentationen, utan den skall finnas tillhanda om myndigheterna frågar efter den. Ni kan alltså lika väl skriva dokumentationen i ert eget format.

I er förening kan ni tex. göra dokumentationen så att ni går genom punkterna här nedanför och protokollför dem på ett styrelsemöte. Det kan vara bra att ha det som rutin att årligen ta upp på första styrelsemötet så att man regelbundet ser över dem och introducerar nya förtroendevalda i hur ni behandlar personuppgifter.

De här anvisningarna är skrivna på basen av Dataombudsmannens byrås anvisningar https://tietosuoja.fi/sv/framsida. Svenska pensionärsförbundet ansvarar inte för att informationen här är komplett och korrekt, men informationen uppdateras genast vid förändringar eller då ny information om lagen kommer till vår kännedom.

För att visa att ni i föreningen följer förordningen bör följande punkter ha beaktats:

  1. Styrelsen är insatt i förordningen
  2. Kartläggning av hanteringen av personuppgifter i föreningen är gjord
  3. Kartläggningen med åtföljande åtgärder uppdateras regelbundet och vid behov
  4. Samtliga ansvarspersoner i föreningen bör vara informerade om hanteringen av personuppgifter jämte anmälningsplikt vid inträffad incident

Föreningens styrelse är personuppgiftsansvarig i föreningen, de (och de förtroendevalda) bör vara medvetna om förordningen och vad den innebär. Ta upp det på ett styrelsemöte exempelvis genom att gå genom texten på den här webbsidan. Utse vem som går genom och kartlägger föreningens hantering av personuppgifter (men ni behöver inte utse en dataskyddsansvarig). Dokumentera genomgången samt ta upp det på nästa styrelsemöte. Resultatet och den dokumentation som genomgången resulterar i sparas och uppdateras vid behov som dokumentation på att er förening uppfyller förordningen.

Kartlägg vilka personuppgifter ni hanterar

Som personuppgift räknas förutom namn, adress, telefonnummer osv, också vilken som helst uppgift som kan användas för att identifiera en fysisk person. Ni måste gå genom er verksamhet och identifiera vilka sådana uppgifter ni hanterar och dokumentera dem.

Medlemsregistret behandlas mera i detalj nedan, men det är värt att notera att när det gäller medlemmars uppgifter som finns i registret och används för olika verksamhet inom föreningen, behöver inte varje användningsändamål dokumenteras separat.

För varje typs hantering av personuppgifter ta ställning till följande:

  • Beskrivning, vem samlar in vilka uppgifter
  • Laglig grund, vilka uppgifter samlas in och finns det en laglig grund för behandling av de här personuppgifterna, dvs. behöver ni dem nödvändigtvis för den verksamhet det är frågan om
  • Insamling, hur samlas uppgifterna in
  • Godkännande, godkänner personen att ni hanterar uppgifterna och har de informerats om hur de hanteras
  • Utlämning, till vem ni lämnar ut uppgifterna
  • Lagring/radering, hur länge sparas uppgifterna och hur och när raderas de
  • Risker, bedöm vilka risker behandlingen av personuppgifter medför och hur de kan minimeras
  • Hur de registrerades rättigheter tillmötesgås, dvs. rätten att få tillgång till sina personuppgifter, få felaktiga personuppgifter rättade, få sina personuppgifter raderade, invända mot att personuppgifterna används för direktmarknadsföring

Typiska uppgifter som pensionärföreningar hanterar är:

  • Anmälningslistor och deltagarförteckningar för resor och evenemang
  • Uppvaktningslistor med födelsedagar
  • Mötesprotokoll med personuppgifter
  • Uppgifter på webben och på Facebook, text och bilder
  • Medlemsregister beskrivs närmare nedan

Men gå genom er egen verksamhet och kartlägg om ni hanterar andra uppgifter. Om uppgifterna finns i sin helhet i medlemsregistret behöver de som sagt inte nödvändigtvis en separat redovisning, eftersom den redan beskrivs i samband med registret. Ett exempel är resor som enbart medlemmar deltar i, för dessa räcker beskrivningen av medlemregistret, men om också icke-medlemmar deltar i resan måste en skild dokumentation göras.

Exempel. Dokumentationen för anmälning till föreningens resor kan se ut på följande sätt:

 

Beskrivning: Anmälning till resa. Namn, Epost, Tel nr samlas in på papperslista, hanteras av reseledaren

  
  Dokumentation Kartlagt
Lagling grund: Ja, vi behöver namn, epost och telefonnummer för att veta vem som kommer och för att kunna kontakta dem. Specialdieter samlas in men antecknas enbart antal personer per diet. X
Insamling: Genom cirkulerande listor på möten och per telefon. X
Godkännande: Personerna har informerats om ändamålet med listan, de godkänner att uppgifterna hanteras genom att skriva namnet på listan. X
Utlämning: Enbart uppgift om antal resenärer lämnas till bussbolaget, det har därför inte säkerställts närmare. X
Lagring/radering: Namn och telefonnummer sparas högst till nästa år för att skicka ut information om nästa års resa, därefter raderas de genom att förstöra listan. X
Risker: Inga risker identifierade. X
Registrerades rättigheter: Görs på begäran och uppgifterna används inte till direktmarknadsföring. X

Åtgärder

I samband med kartläggningen kan ni upptäcka sådant som behöver åtgärdas, det kan typiskt vara sådant som beskrivs här.

Samla inte in onödiga uppgifter

Ifall ni i samband med kartläggningen identifierar sådana uppgifter som samlas in men inte är nödvändiga för verksamheten, är det bäst att åtgärda det genom att sluta samla in den informationen.

Exempel: Om ni inte skickar någonting per post till deltagarna på en resa är det onödigt att samla in den informationen. Om ni samlar in om specialdiet är det kanske inte nödvändigt att samla in annat än antal – tex. antal personer (men inte namn) med laktosintolerans för att meddela restaurangen.

Informera tydligt hur ni hanterar uppgifterna

Det som i många fall behöver åtgärdas är att det tydligt framgå varför ni samlar in olika personuppgifter, hur ni förvarar dem och när ni raderar dem. Det här behöver skrivas in i de formulär och de blanketter ni använder för att samla in personuppgifter. För de föreningar som använder förbundets medlemsregister och har en ”bli medlem”-sida läggs det här in automatiskt.

Identifiera risker

Granska kritiskt hanteringen och vilka risker som är förknippade med hanteringen, diskutera möjliga åtgärder och ändra processerna ifall det gör hanteringen säkrare.

Exempel: Om ni identifierar att en anmälningslista brukar skickas per epost (som i grunden och alltid är osäkert) kanske ni i fortsättningen räcker över listan personligen på ett möte, eller kanske det räcker med att meddela antal personer istället för att skicka hela listan med uppgifter.

Exempel: Om ni skickar ut epost till flera personer på en gång (tex. i samband med en resa) skall ni för epost-adresserna använda fältet ”Hemlig kopia” (eng. Bcc) istället för det vanliga mottagarfältet. Annars ser mottagarna varandras adresser och ni kan då komma att lämna ut personuppgifter på ett sätt som personerna inte godkänt. Det här kan tyckas vara en detalj, men det har faktiskt gällt redan före GDPR. Läs mera här på Yles sidor.

Förbjudna uppgifter

Förbjudna uppgifter, dvs sådana som inte alls får hanteras (samlas in, sparas osv), är uppgifter om ras eller etniskt ursprung, politisk övertygelse, religiös övertygelse, uppgifter om brott, sexuella inriktning, hälsotillstånd, handikapp, sjukdom osv.

Medlemsregister

Medlemsregistret är ofta det register där flest personuppgifter finns samlade, beroende på om föreningen använder förbundets register eller ett eget register krävs olika åtgärder:

  • Använder föreningen det medlemsregister som förbundet erbjuder kan du använda förbundets beskrivning här (https://www.spfpension.fi/personuppg/). Då kan du vara säker på att det följer lagen. 
  • Om föreningen använder ett eget register (inte gemensamma förbundets) måste ni själva se till att göra dokumentationen och fästa uppmärksamhet på att även följande saker kontrolleras och dokumenteras:
    • Vem hanterar uppgifterna (personuppgiftsbiträde)
    • Vilka uppgifter finns i registret, behövs uppgifterna för verksamheten, hur känsliga uppgifter är det.

Anmäl incidenter

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Om man tex. misstänker att medlemsregistret eller någon annan lista har kommit i fel händer skall man anmäla det till inom 72 timmar. Lämpligen kontaktar man i föreningen vid ett sådant fall genast styrelsen, som i sin tur kontaktar dataombudsmannens byrå för närmare anvisningar: https://tietosuoja.fi/sv/framsida