förening för alla

Ny lag tvingar föreningar skärpa hanteringen av personuppgifter

by | Jun 9, 2017

Om ett år träder EU:s dataskyddsförordning i kraft. Det kommer innebära en stor omställning för många organisationer.

Två människor byggda av ettor och nollor

En ny lag från EU kräver att föreningar, företag och myndigheter skärper sin hantering av personuppgifter. Enligt både EU-rätten och Europakonventionen är den personliga integriteten och skyddet för personuppgifter grundläggande mänskliga rättigheter som är lika skyddsvärda som yttrandefriheten. Den omvälvande teknikutvecklingen och dramatiskt ökade insamlingen av personuppgifter kräver en kraftfull lag för att effektivt kunna skydda dessa rättigheter.

När EU:s dataskyddsförordning (GDPR, General Data Protection Regulation) träder i kraft den 25 maj 2018 innebär det en stor omställning för många organisationer. GDPR gör att individen får fler och starkare rättigheter medan alla som behandlar personuppgifter får fler skyldigheter. I detta inlägg berörs några av dessa krav. Det högsta straffet för brott mot GDPR är 20 miljoner euro eller fyra procent av global omsättning beroende på vilket som är högst.

Det märks att lagstiftarens avsikt var att ge lagen tillräckliga muskler för att även påverka multinationella företag som Google och Facebook. Lagen tar liten hänsyn till civilsamhällets speciella förutsättningar. I en debattartikel i Norrtäljetidningen skriver två riksdagsledamöter och ordföranden för Svenskt Friluftsliv att EU:s dataskyddsförordning är ett stort hot mot de ideella föreningarna. Dessvärre delar jag debattörernas oro över att ideella föreningar inte fått något undantag från de höga straffbeloppen och vad som kommer hända om deras överträdelser kommer att straffas lika hårt som när vinstdrivande företag bryter mot lagen. Precis som debattörerna tror jag att att många föreningar saknar medel för att utbilda sig i hur de ska följa lagen.

Den nya lagen syftar till att säkerställa en fungerande modern ekonomi i ett digitalt samhälle genom att privatpersoner ges tillräckliga garantier för att deras personuppgifter inte missbrukas när de hanteras av organisationer, företag och myndigheter.  Genom att lagen ännu tydligare anger att individen i princip äger sina personuppgifter och att organisationer endast får behandla uppgifter om en person med stöd av en rättslig grund och endast när det är nödvändigt (juridisk bedömningsfråga) flyttas makten tillbaka till individen. I det stora hela är det en mycket välkommen utveckling som i alla fall minskar risken för att individer far illa när det blir allt vanligare med avancerad teknik för profilering och automatiskt beslutsfattande.

Det är viktigt att påpeka att all databehandling av personuppgifter kommer omfattas av lagen. När missbruksregeln i dagens personuppgiftslag försvinner innebär det att även behandling av ostrukturerade data räknas som personuppgifter. Tröskeln är väldigt låg: All information som direkt eller indirekt kan identifiera en fysisk person är personuppgifter. Således kommer det i många fall räcka med att en persons namn nämns i ett sms, Worddokument eller i ett mejl och att den informationen kan härledas till en bestämd fysisk person för att det ska anses som behandling av personuppgifter.

GDPR förutsätter att organisationer arbetar riskbaserat. Skyddsnivån ska vara lämplig bland annat i förhållande till databehandlingens risker för den registrerade personens fri- och rättigheter. I synnerhet om den registrerade kan utsättas för diskriminering, skadat anseende, betydande ekonomiska och sociala nackdelar, identitetskapning, bedrägeri m.m. Om föreningen HIV-Sveriges medlemsregister kommer i fel händer och publiceras på internet är risken för att enskilda lider skada sannolikt mycket större än om samma sak drabbar en innebandyförening.

Alla organisationer blir skyldiga att inom 72 timmar rapportera till Datainspektionen om det uppstår en säkerhetsincident som riskerar fysiska personers rättigheter och friheter. Ni måste ha rutiner på plats för detta och kan bli skyldiga att informera de drabbade.

Lagen definierar en viss sorts personuppgifter som känsliga. Till exempel uppgifter om en persons hälsa (inbegripet funktionsnedsättning), religiös, politisk eller filosofisk övertygelse, etnicitet, fackligt medlemskap m.m. Sådana uppgifter får i princip bara behandlas med den registrerades samtycke.

En annan fallgrop att se upp för är att användandet av populära molntjänster som Google Forms, Google Docs, Dropbox, Onedrive, Evernote, Trello, Droptask etc. i många fall innebär överföring av personuppgifter till tredje land (USA räknas som tredje land). När personuppgifter överförs till tredjeland måste den registrerade informeras om detta. Sådan överföring är dessutom bara tillåten om landet eller företaget som personuppgifterna överförs till anses ha en adekvat skyddsnivå eller om ni som organisation vidtagit lämpliga skyddsåtgärder. Ni förväntas ha koll på detta.

Det är viktigt att som förening sätta sig in i vad den nya lagen kommer innebära. Glädjande nog har frågan börjat uppmärksammas. Ett hett tips är att så snart som möjligt börja kartlägga hur ni hanterar personuppgifter.

Kave Noori

Kave Noori är intresserad av mänskliga rättigheter, IT och juridik. Han har studerat offentlig rätt samt varit anställd och förtroendevald i den ideella sektorn. Nyligen gick han en kurs om GDPR. Han är suppleant i Unga Hörselskadades styrelse och studerar på juristprogrammet.

om

Föreningar är en mötesplats för människor med olika bakgrund. De skapar tillit mellan människor och bygger socialt kapital. Med Förening för alla vill vi skapa en plattform för erfarenhetsutbyte och idédebatt inom den ideella sektorn.

Vissa av inläggen presenterar de senaste rön från civilsamhällsforskningen. Andra behandlar väldigt praktiska frågor från föreningars vardag. Det händer att vi tar in inlägg som inte har med föreningar att göra utan som behandlar andra former av engagemang.

Förening för alla drivs av Trinambai som ett pro bono-projekt. Vi tjänar inga pengar på bloggen och alla skribenter bidrar ideellt.

Vill du skriva på Förening för alla? Läs vår skribenthandledning och hör av dig!

Sex tips för medlemsrekrytering i coronatider

När varje fysiskt möte innebär en smittorisk kan medlemsrekrytering vara en utmaning. Hur kan vi rekrytera när vi inte har möjlighet att träffas? Här kommer sex tips för att lyckas med att attrahera, rekrytera och välkomna medlemmar i coronatider. 1. Tänk på att många...

Omvärldsbevakning

En styrelse som saknar information och analys gällande omvärldshändelserna kan sakna styrning och innehåll. Omvärldsbevakning bör vara en av styrelsens kontinuerliga uppgifter. Bevakning och analys av relevanta händelser är nödvändiga för en välfungerande styrelse....

Stötta föreningslivet ? minska ungdomsarbetslösheten!

Förra året lyssnade jag på ett föredrag av forskaren Peter Håkansson under mångfaldsveckan HELA Landskrona. Han har forskat på ungdomsarbetslöshet. Den vanligaste metoden för ungdomar att hitta ett arbete är genom släkt och vänner. Den metoden är framför allt viktig...

Relevanta om tio år?

Det är inte ovanligt att organisationer som har funnits länge undrar om de kommer att förbli relevanta om några decennier framöver. Frågan om relevans handlar i grund och botten om föreningens ändamål men även om medlemsnyttan, engagemang och inkludering. Föreningen...

Vänstra handen vice

När jag nyligen blev tvungen att avlägsna mig från styrelsen på grund av sjukdom klev vice ordföranden fram och ledde styrelsens arbete. Vice ordföranden tog med andra ord över ordförandeposten när jag som ordförande blev förhindrad. Det handlar om en viktig...
[caldera_form id="CF5e9dc4cfe36e4"]