GDPR

GDPR, (eller General Data Protection Regulation) är den nya dataskyddsförordningen som gäller inom EU. Från och med 25 maj 2018 ersätter den vår tidigare nationella datalagstiftning PUL.

Syftet med GDPR är att stärka skyddet för fysiska personer avseende behandling av deras personuppgifter.

När det gäller samtycke som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för missbruksregeln har tagits bort och även material i ostrukturerad form omfattas av GDPR.

Integritetsskyddsmyndigheten kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Den största påverkan jämfört med nuvarande lagstiftning är att vi som organisation måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både scoutkårer och Scouterna nationellt. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten, och det måste vara tydligt för den vi behandlar uppgifter om att vi gör det, vilka uppgifter vi behandlar och varför.

1. Genomför en nulägesanalys, hur ser våra processer ut, vilka personuppgifter behandlar vi, i vilka system och register behandlar vi dessa personuppgifter och på vilken laglig grund?
2. Genomför en riskbedömning, vilken behandling av personuppgifter har störst risk att leda till skador eller kränkningar för individen? Börja arbeta med dessa först.
3. Sätt en tydlig kravbild för hur vi får behandla personuppgifter genom t.ex. integritetspolicy, instruktioner och rutinbeskrivningar. Exempel på dokumentation som kan behövas ta fram är en instruktion för arkivering/gallring som beskriver hur och när ni ska gallra och rutinbeskrivningar för hur ni ska upptäcka och rapportera en personuppgiftsincident mm.
4. Implementera rutiner och se över system för att säkerställa att den kravbild ni sätter efterlevs, strukturera arbetet så att ni både internt och för Integritetsskyddsmyndigheten kan påvisa ert arbete. Viktigt att komma ihåg också att utbilda ledare och anställda i hur personuppgifter ska hanteras.
5. Scouternas kansli har tagit fram exempel på samtyckestexter för t.ex. anmälan till läger och arrangemang. Ni hittar det under ”Hämta mallar” i menyn till vänster.

Personuppgiftsansvarig är den juridiska person som sätter ändamålen för behandlingen av personuppgifter. I vissa fall kan ansvaret vara gemensamt. Exempelvis när det gäller personuppgifter i Scoutnet, kan ansvaret vara gemensamt mellan Scouterna och scoutkåren, beroende på vilken typ av databehandling som avses.

I den mån lokala scoutkårer behandlar personuppgifter i medlemsregister eller från andra källor, utan gemensamt ändamål med Scouterna, blir de enskilt personuppgiftsansvariga för den behandling som utförs. Exempelvis anmälningar för hajker och läger, som ej hanteras i Scoutnet. I de fallen måste scoutkåren se till att uppfylla kraven för databehandling under GDPR.

I dagsläget är det oklart vilken rättslig grund föreningar och organisationer kan ha för arkivering. Enligt en proposition föreslås att Riksarkivet av regeringen ska få ett bemyndigande att utfärda föreskrifter rörande behandling av personuppgifter hos de enskilda arkiv som bedriver arkivverksamhet av allmänt intresse. Det skulle innebära att de föreskrifterna kommer att utgöra den rättsliga grunden för undantag för GDPR för enskilda arkiv.

Riksarkivet uppmanar därmed föreningar, organisationer och enskilda arkivinstitutioner att inte radera eller gallra personuppgifter i sina arkivbestånd.

Mer information finns att läsa på riksarkivets webb på den här länken.

Gå till www.scoutnet.se eller kontakta din scoutkår.

Scouterna har en rättslig grund för att lagra personuppgifterna. Detta kommer att finnas med som informationstext vid inskrivning av medlemsuppgifter. Vi rekommenderar starkt att det är medlemmen själv eller dennes vårdnadshavare som skriver in uppgifterna.

Om kåren samlar in personuppgifter på annat sätt och själva matar in dem i Scoutnet (ex genom pappersblankett som medlemsregistreraren sen matar in) är vår starka rekommendation att den föreslagna upplysningstexten finns med.

Det är viktigt att inte använda Scoutnets kontaktfält ”kreativt”. Vi har bara tillåtelse att registrera den typ av information som är definierad i profilen (telefonnummer, e-post, gatuadress, etc).

Logga in på www.scoutnet.se där kan du uppdatera dina uppgifter.

Scoutnet har en funktion för att hantera anmälningar till arrangemang. I dagsläget är den inte fullt anpassad för mindre arrangemang som sker lokalt. Utveckling pågår däremot för att bättre möjliggöra detta. Målet är att Scoutnet ska ha en bra funktionalitet för att stödja administrationen kring lokala arrangemang på ett bra sätt som uppfyller kraven kring GDPR. Värt att notera är att hälsoinformation som t.ex. allergier osv, räknas under GDPR som särskilt känsliga uppgifter och behöver hanteras med extra varsamhet och endast för specifika arrangemang. Scoutnets arrangemangsmodul raderar automatiskt information 90 dagar efter avslutning.

Under ”Hämta mallar” i menyn till vänster, finns en mall för inhämtning av samtycke i samband med kårarrangemang, som ni kan utgå ifrån. Kom ihåg att anpassa den för just ert arrangemang.

Notera att hälsouppgifter aldrig får skrivas in i den vanliga medlemsprofilen i Scoutnet.

Ja, dessa omfattas av GDPR. Däremot är det så att svensk lagstiftning går före GDPR i de fall de är motstridiga. I det här fallet gäller bokföringslagen, som kräver att ni sparar finansiell information i sju år. Eftersom bokföringslagen kräver sju år, innebär det också att en medlem inte kan hävda ”rätten att bli glömd” under den tiden.

Vi rekommenderar att ni i första hand hör av er till kommunen, de bör ha riktlinjer för hur deras närvarorapportering görs på ett lagligt sätt. Generellt sett är det viktigt att vara tydlig gentemot medlemmar (nya och befintliga) om vilka uppgifter ni delar med andra organisationer (till exempel kommunen) och hur de hanteras, och att inte kräva att få dela eller behandla uppgifter som inte är nödvändiga.

Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. Scoutnet, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.

Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din scoutkårs ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.

Ett förslag är att ni inför en policy i scoutkåren över hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är känsliga personuppgifter, t.ex. personnummer. Dessa måste hanteras med extra försiktighet.

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av GDPR.

Efter samtal med jurist hos Datainspektionen, har vi fått veta att vi kan använda den rättsliga grunden ”Intresseavvägning”. Det som behövs då är tydlig information i förhand om:

• Att det kommer att fotograferas och bilderna kommer att användas/publiceras med stöd av den rättsliga grunden ”Intresseavvägning”.
• Du har rätt att invända mot fotograferingen på plats.
• Du har rätt att i efterhand invända mot en bildpublicering. Du behöver då meddela vilken bild du vill ska tas bort.

Enklast är att hantera det med ett skriftligt dokumenterat samtycke från de ledare som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (ledaren kan ångra sig och dens uppgifter ska då avpubliceras) och att det inte får ge några negativa konsekvenser att inte ge sitt samtycke (en ledare ska få vara ledare även utan att publiceras på kårens hemsida).

GDPR definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress, en bild.

När det gäller behandling av personuppgifter genom s.k. molntjänster finns det några viktiga saker att tänka på.

En leverantör av en molntjänst är ett s.k. personuppgiftsbiträde. Det vill säga att det är någon som på ert uppdrag behandlar de personuppgifter ni sparar på den molntjänsten. Till exempel kan detta vara en deltagarlista på ett läger eller hajk. Själva lagringen är i sig en form av databehandling. Detta betyder att scoutkåren måste ha ett avtal med den tjänsteleverantören – ett s.k. personuppgiftsbiträdesavtal, som reglerar vilka uppgifter som avses och vad tjänsteleverantören – eller ”personuppgiftsbiträdet” får göra med personuppgifterna.

Ni behöver också säkerställa var uppgifterna lagras någonstans. Om leverantören har sina servrar utanför EU innebär det att era personuppgifter hanteras i ”tredje land” och då är det ert ansvar att se till att den tjänsteleverantören har vad GDPR kallar ”adekvat skyddsnivå”. Många av de stora tjänsteleverantörerna har tagit fram generella allmänna villkor som reglerar detta. Det skulle vara ohållbart för t.ex. Google att ha ett separat personuppgiftsbiträdesavtal med varje företag eller organisation som använder deras tjänster. Kolla vad som gäller för just era tjänsteleverantörer.

Om scoutkåren använder ett system som inte tillhandahålls av Scouterna, ansvarar scoutkåren för att GDPR efterlevs. Det innebär t.ex. att kåren måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att ni har rutiner för rensning av inaktuella uppgifter. Detta måste ni ha dokumenterat. Om det är ett system som lagrar personuppgifter externt, behövs dessutom ett personuppgiftsbiträdesavtal med tjänsteleverantören. Avtalet ska tydliggöra och reglera vilka uppgifter som leverantören hanterar och specificerar vilken typ av databehandling leverantören får göra.

Om scoutkåren satt ändamålen med behandling av personuppgifter, dvs de bestämmer när och hur personuppgifter får behandlas, är det kåren som ansvarar för att behandlingen uppfyller kraven i GDPR.