GDPR – allmän information

Från SKK:

Dataskyddsförordningen (även kallad GDPR efter det engelska namnet General Data Protection Regulation) börjar gälla den 25 maj 2018. Påverkas din klubb av EUs nya dataskyddsförordning? Ja, det gör den! Din klubb kommer att behöva se över hur, vad och varför ni lagrar personuppgifter. Troligen kommer ni behöva göra vissa åtgärder för att undvika att riskera höga bötesbelopp.

Här nedan kan du se en serie filmer där Fredrik bruno från SKKs juridiska avdelning förklarar vad den nya dataskyddsförordningen innebär för SKKs medlemsklubbar.

Har ni börjat förbereda er för de nya reglerna?

Är svaret Ja är det toppen, då har ni kommit en bra bit på vägen. Är svaret Nej, är det hög tid att sätta sig in i de nya reglerna.

Som klubb hanterar ni förmodligen en hel del personuppgifter. De uppgifter ni behandlar handlar till exempel om att en person har lämnat sina kontaktuppgifter när denne anmält sig till en kurs, en utbildning eller kanske en föreläsning. Ni tar emot och registrerar personuppgifter när någon vill teckna ett medlemskap och ni använder förmodligen medlemslistorna vid årsmöten och andra kontroller av medlemskap. Det kan även vara så att ni, som många andra, sparar deltagarlistor lite för länge, e-post med namn på personer sparas i mappar såväl som i mejlkorgen, protokoll där personer finns namngivna sparas kanske både digitalt och i pärmar.

Vad är en personuppgift?

Personuppgifter är uppgifter som kan identifiera en fysisk person.

Förordningen börjar gälla den 25 maj 2018

Dataskyddsförordningen börjar gälla den 25 maj 2018. Din klubb behöver anpassa sina register och sättet att hantera uppgifter så att ni följer förordningen. Ni kommer också vara tvungna att se över klubbens samarbetsavtal med till exempel sponsorer, försäkringsbolag, tryckerier och liknande för att se om ni måste teckna biträdesavtal med dessa.

Alla klubbar inom SKK-organisationen ska följa de grundläggande reglerna och har nytta av att ha det dokumenterat.

All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bland annat att din klubb ska ha ett lagligt stöd för sin behandling av uppgifterna, till exempel att uppgifterna behövs för att kunna fullfölja ett avtal eller efter samtycke eller efter en intresseavvägning.

Viktigt att uppge ändamål

När din klubb samlar in eller tar emot personuppgifter ska klubben ange ändamålet för insamlingen och uppgifterna får sedan inte användas för ett syfte som är oförenligt med detta ändamål. Vidare ska din klubb sträva efter att minimera personuppgifterna så att de inte är för omfattande.

Din klubb är ansvarig

Det är din klubb som är personuppgiftsansvarig och som därmed ska kunna påvisa att grundläggande principer följs. Din klubb ska även ha rutiner för att rapportera säkerhets­incidenter till Datainspektionen.

Personer som är registrerade får ökade rättigheter, till exempel ska de få tydlig information när uppgifterna samlas in. Den registrerade ska få kontaktuppgifter till den personuppgifts­ansvarige samt information om ändamålen med behandlingen och den rättsliga grunden för den. De har även rätt att få felaktiga uppgifter rättade och i vissa fall även raderade eller få igenom en begränsning av behandlingen.

Höga böter om reglerna inte följs

En klubb som bryter mot reglerna riskerar att få böta med 4 % av omsättningen i administrativ sanktionsavgift. I praktiken betyder det att vid en omsättning på 100 000 kr per år kommer bötesbeloppet landa på cirka 4 000 kr. Dessutom kan enskilda personer begära skadestånd från klubbar som behandlat deras personuppgifter fel. Detta gör att alla klubbar har ett starkt incitament att arbeta bättre med frågorna om skydd för personuppgifter.

Detta gör att ni behöver se över rutiner, system och avtal för att kunna följa reglerna.

Om ni följer personuppgiftslagens regler idag har ni en bra grund. Många av kraven blir dock skarpare, exempelvis ställs högre krav på att samtycke ska föregås av information för att vara giltig grund för behandling.

Kort sammanfattning av den nya förordningen

All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt för den registrerade. Detta innebär bland annat att din klubb ska ha ett stöd för sin behandling av uppgifterna, till exempel avtal, samtycke eller intresseavvägning.

När din klubb samlar in personuppgifter ska klubben ange ändamålet med insamlingen. Klubben ska dessutom ha rutiner för att uppgifterna är korrekta och uppdaterade – och att felaktiga uppgifter rättas eller raderas.

Din klubb får heller inte lagra personuppgifterna längre än nödvändigt. Vidare ska klubben med lämpliga tekniska och organisatoriska åtgärder se till att personuppgifterna behandlas så att det finns ett tillräckligt skydd mot bland annat obehörig eller otillåten behandling. Din klubb är personuppgiftsansvarig och ska visa att dessa grundläggande principer följs.

Personer som är registrerade får ökade rättigheter. Man har till exempel rätt att få felaktiga uppgifter rättade och i vissa fall även raderade eller att behandlingen begränsas.

Mycket av detta känner ni säkert igen från personuppgiftslagens regler. Men många av kraven blir skarpare inom flera områden.

Detta är bara lite kortfattat om vad som kommer att gälla. Lagtexterna är ännu inte fastställda men SKK kommer fortlöpande att förse klubbarna med den information som finns. Eftersom det är en hel del som måste göras är det bra att sätta igång med det som ni med säkerhet kommer att behöva åtgärda så blir det inte lika stressigt när 25 maj 2018 är här.

Datainspektionen är den svenska tillsynsmyndigheten och ni hittar mer utförlig information på www.datainspektionen.se.