Dataskyddsförordningen - GDPR

Dataskyddsförordningen (GDPR) är en ny EU-förordning som börjar gälla 25 maj 2018 och ersätter den tidigare personuppgiftslagen (PuL). Alla företag och organisationer som hanterar personuppgifter omfattas av GDPR.

Ideella föreningar omfattas av GDPR både på förbunds- och klubbnivå. Har man tidigare varit noga att följa personuppgiftslagen är det mindre justeringar som behöver göras för att anpassa organisationen till GDPR. Om inte, finns det en del att göra innan förordningen träder i kraft.

Nedan följer en förklaring i delar av GDPR samt en checklista för att komma igång med en anpassning. Till din hjälp finns också en ordlista kring vanliga begrepp inom GDPR som är bra att känna till. Ord nedan som är kursiva går att hitta i ordlistan.

Vem ansvarar för medlemmarnas personuppgifter?

Då Svenska Brukshundklubbens distrikt, ras- och lokalklubbar samt lokalområden är egna juridiska personer, är ni personuppgiftsansvariga för hantering av era egna medlemmars personuppgifter - hur de lagras, hur länge de lagras, vad de används till och hur de är skyddade från dataintrång. Tar vi inte detta ansvar kan förbundet/distriktet/klubben behöva betala vite.

Eftersom vi har gemensamt medlemsregister (Medlem online) och tävlingssystem (SBK Tävling) finns ett delat ansvar mellan förbund, distrikt, ras- och lokalklubb samt lokalområde gällande de personuppgifter som finns där.

Vad är en personuppgift?

En personuppgift är en uppgift som kan identifiera en fysisk, nu levande person.

Vad är ett personregister?

Alla register där minst två uppgifter om en person finns med klassas som ett personregister, oavsett om det är ett papper i en pärm, en excelfil eller i ett mejl. Register som bara innehåller en personuppgift, men som kombineras med andra register med ytterligare uppgifter om samma person, klassas också som ett personregister.

Utökade rättigheter för dem vars personuppgifter vi behandlar

GDPR är framtagen för att stärka individens personliga integritet. Det som skiljer GDPR från PuL, i stora drag, är att individen ska ha bättre inblick i hur dennes uppgifter behandlas och ha kontroll över sina egna uppgifter.

Rätt till information

Medlemmen har rätt att få information när hans eller hennes personuppgifter behandlas. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den lagliga grunden för behandlingen och ändamålet med behandlingen.

Information ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när medlemmen annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) och det finns risk för till exempel identitetsstöld eller bedrägeri.

Läs mer om detta i vår checklista.

Rätt till korrigering

Det är ert ansvar som personuppgiftsansvarig att personuppgifter är korrekta. Om så inte är fallet har medlemmen rätt att få sina uppgifter rättade. Via Mina sidor i Medlem online kan medlemmen själv rätta sina uppgifter. Medlemmen har också rätt att få veta till vem felaktiga uppgifter lämnats ut.

Rätt att bli glömd

På medlemmens begäran har denne rätt att få samtliga personuppgifter raderade helt eller delvis. Ni som personuppgiftsansvarig är då skyldiga att tillmötesgå detta och informera andra som behandlat dennes uppgifter att göra detsamma.

Om det finns en annan lagstiftning som kräver att uppgifter sparas, kan dessa uppgifter inte bli glömda. Det kan förekomma en intresseavvägning då organisationen ändå kan spara uppgifter utan personens samtycke. T ex om någon är utesluten, vill bli glömd, men organisationen behöver ha uppgifter för att personen inte ska kunna bli medlem igen.

Vill medlemmen bli helt glömd är det inte längre möjligt att vara medlem i Brukshundklubben då vi inte kan administrera medlemskapet. Detta regleras i medlemsvillkoren.

Rätt till dataportabilitet

Medlemmen har rätt att få sina uppgifter flyttade, t ex till en annan hundklubb. Detta gäller bara de uppgifter som medlemmen själv har lämnat och som omfattas av det avtal eller samtycke som ni och medlemmen har kommit överens om. Uppgifterna ska då göras tillgängliga i en fil i digitalt format som kan läsas av vanliga system, t ex xml.

Rätt att få ut sina uppgifter som behandlats

Medlemmen har rätt att kostnadsfritt en gång om året få ett utdrag på all behandling av dennes personuppgifter. Detta gäller både digitala och analoga register. Informationen ska tillhandahållas i en lättillgänglig, skriftlig form och med ett tydligt och enkelt språk.

Rätt att göra invändningar

Medlemmen har rätt att invända mot hur ni behandlat dennes personuppgifter. Som personuppgiftsansvarig är ni då skyldiga att kunna påvisa att ni behandlat personuppgifter enligt det avtal eller samtycke som ni kommit överens om. Om medlemmen invänder mot användning vid direktmarknadsföring får ni inte använda medlemmens uppgifter i detta syfte.

Rätt att lämna klagomål

En medlem som anser att vi brustit i vår behandling av personuppgifter har rätt att lämna in ett klagomål till Datainspektionen. Detta är vi skyldiga att informera våra medlemmar om, och gör så i våra medlemsvillkor. Om klagomålet "vinner laga kraft" kan Datainspektionen besluta att vi ska betala ut skadestånd.

Läs noga igenom mer information om personers rättigheter på datainspektionens hemsida.

Checklista för att påbörja anpassningen till GDPR

Det svåra med GDPR är att veta var man ska börja. Datainspektionen har tagit fram ett bra underlag som hjälper till i förberedelserna. Den hittar du på Datainspektionens hemsida.

För att förenkla det ytterligare har Svenska Brukshundklubben tagit fram en egen checklista.

1 Leta information

Svenska Kennelklubben har tagit fram bra material över vad ideella klubbar behöver tänka på. All information hittar du på Kennelklubbens hemsida. På datainspektionen.se finns det mycket information om den nya förordningen.

2 Utse en ansvarig

Utse en person eller grupp på klubben/distriktet som är ansvarig för att sätta sig in i frågorna och börja läsa på. Ansvarig för GDPR på distriktet/klubben kan också vara den som ser till att nya funktionärer eller förtroendevalda får information om GDPR och er hantering av den.

3 Gör en inventering av register

Genom att se över vilka personregister klubben har, får ni en bättre överblick över hur hanteringen ser ut. Då kan ni rensa bort en del, skapa rutiner för vilka register ni ska ha och bestämma varför vissa register måste finnas. Upprätta en registerförteckning så att ni vet vilka register ni har. Håll den uppdaterad genom att hålla nere antalet personregister och föra in eventuella nya register som skapas.

4 Se över vilka personuppgifter ni sparar och i vilket syfte

Behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt. För att uppnå det, spara endast de personuppgifter som är adekvata för att kunna bedriva verksamhet och hålla god medlemsvård. För in i registerförteckningen en formulering hur länge registret ska finnas och på vilken grund ni sparar uppgifterna. Det kan krävas olika formuleringar för olika register, beroende på registrets syfte. Se till att ni inte sparar fler uppgifter än vad ni behöver. Läs mer om detta på datainspektionens hemsida.

5 Se över säkerheten

Minimera risken för att medlemmarnas personuppgifter läcker ut. Detta gör ni bäst genom att skapa rutiner för vilka som får hantera och spara register, och på vilket sätt de sparas. Se till att personuppgifter inte sparas på personers egna datorer eller andra ställen där de lätt läcker ut. Bästa är om uppgifterna ligger skyddade bakom ordentliga brandväggar.

I GDPR finns en rapporteringsskyldighet vid dataintrång. Skulle personuppgifter läcka, t ex om någon mister sin dator eller telefon med personregister i eller någon hackar sig in på er hemsida, har ni 72 timmar på er från att det upptäcks, att rapportera det till datainspektionen. Det kan komma att bli aktuellt att även delge detta till de drabbade.

6 Skriv personuppgiftsbiträdesavtal

Alla externa parter som ni lämnar ut personregister till är era personuppgiftsbiträden som ni ska skriva ett personuppgiftsbiträdesavtal med. Det finns avtalsmallar för detta och är inte speciellt komplicerat. Avtalet klargör vilket ansvar biträdet har över era personregister och på vilket sätt de får hanteras. Det kan t ex vara tryckeriet som trycker er medlemstidning (och distribuerar den). Det kan också komma att bli aktuellt att vi, inom Svenska Brukshundklubben, är personuppgiftsbiträden för varandra.

Mall för personuppgiftsbiträdesavtal (PUBA) (Word-dokument, 34 kB)

7 Personuppgifter i ostrukturerat material

Alla personuppgifter som förekommer i t ex mejl, protokoll, brev och på hemsida, s.k. ostrukturerat material, omfattas också av GDPR. Så har det inte varit tidigare. Det innebär att ni behöver undersöka att publicering av personuppgifter i ostrukturerat material har rättsligt stöd, att ni skapar rutiner för hur ni avpersonifierar uppgifter i protokoll och att ni informerar de registrerade på ett korrekt sätt.

8 Informera om hur ni hanterar medlemmarnas personuppgifter

Den sista, och kanske viktigaste punkten, är att vara tydlig i informationen till medlemmar hur ni hanterar personuppgifter och att ni noga motiverar hur behandlingen av dessa sker.

Medlemsvillkor

I Svenska Brukshundklubbens medlemsvillkor framgår det hur vi behandlar personuppgifter. Dessa ska medlemmen känna till och aktivt godkänna innan de blir medlemmar eller påbörjar en ny medlemsperiod. Det aktiva godkännandet sker då medlemmen betalar sin medlemsavi. Länka till medlemsvillkoren på era medlemssidor och gör klart att det är medlemmens ansvar att ta del av dessa innan de betalar sin avi. En sammanfattning av medlemsvillkoren, och länk till dem i sin helhet, finns redan på de medlemsavier som förbundet skickar ut.

Det finns delar i medlemsvillkoren som medlemmen kan avsäga sig. Det kan t ex vara att få tidningen Brukshunden, nyhetsbrev eller erbjudanden från våra samarbetspartners. Detta ska vi tillmötesgå och skaffa bättre digitala system för att hantera. I dag kan de avsäga sig delar av detta i Medlem online (tredjepartsskydd) men det är viktigt att även distriktet/klubben ger denna möjlighet till medlemmar gällande den egna medlemstidningen och erbjudanden från lokala samarbetspartners.

Vi har inte rätt att behandla personuppgifter utöver det som står i medlemsvillkoren. Därför är det extra viktigt att medlemsvillkoren innefattar all behandling och att det efterföljs av alla personer inom och utanför Svenska Brukshundklubben som hanterar våra medlemmars personuppgifter.

Frågor om GDPR

Har du frågor om GDPR, maila gdpr[at]brukshundklubben.se eller ring Sanna Ameln på 08-505 875 14.