Om ett år träder EU:s dataskyddsförordning i kraft. Det kommer innebära en stor omställning för många organisationer.
En ny lag från EU kräver att föreningar, företag och myndigheter skärper sin hantering av personuppgifter. Enligt både EU-rätten och Europakonventionen är den personliga integriteten och skyddet för personuppgifter grundläggande mänskliga rättigheter som är lika skyddsvärda som yttrandefriheten. Den omvälvande teknikutvecklingen och dramatiskt ökade insamlingen av personuppgifter kräver en kraftfull lag för att effektivt kunna skydda dessa rättigheter.
När EU:s dataskyddsförordning (GDPR, General Data Protection Regulation) träder i kraft den 25 maj 2018 innebär det en stor omställning för många organisationer. GDPR gör att individen får fler och starkare rättigheter medan alla som behandlar personuppgifter får fler skyldigheter. I detta inlägg berörs några av dessa krav. Det högsta straffet för brott mot GDPR är 20 miljoner euro eller fyra procent av global omsättning beroende på vilket som är högst.
Det märks att lagstiftarens avsikt var att ge lagen tillräckliga muskler för att även påverka multinationella företag som Google och Facebook. Lagen tar liten hänsyn till civilsamhällets speciella förutsättningar. I en debattartikel i Norrtäljetidningen skriver två riksdagsledamöter och ordföranden för Svenskt Friluftsliv att EU:s dataskyddsförordning är ett stort hot mot de ideella föreningarna. Dessvärre delar jag debattörernas oro över att ideella föreningar inte fått något undantag från de höga straffbeloppen och vad som kommer hända om deras överträdelser kommer att straffas lika hårt som när vinstdrivande företag bryter mot lagen. Precis som debattörerna tror jag att att många föreningar saknar medel för att utbilda sig i hur de ska följa lagen.
Den nya lagen syftar till att säkerställa en fungerande modern ekonomi i ett digitalt samhälle genom att privatpersoner ges tillräckliga garantier för att deras personuppgifter inte missbrukas när de hanteras av organisationer, företag och myndigheter. Genom att lagen ännu tydligare anger att individen i princip äger sina personuppgifter och att organisationer endast får behandla uppgifter om en person med stöd av en rättslig grund och endast när det är nödvändigt (juridisk bedömningsfråga) flyttas makten tillbaka till individen. I det stora hela är det en mycket välkommen utveckling som i alla fall minskar risken för att individer far illa när det blir allt vanligare med avancerad teknik för profilering och automatiskt beslutsfattande.
Det är viktigt att påpeka att all databehandling av personuppgifter kommer omfattas av lagen. När missbruksregeln i dagens personuppgiftslag försvinner innebär det att även behandling av ostrukturerade data räknas som personuppgifter. Tröskeln är väldigt låg: All information som direkt eller indirekt kan identifiera en fysisk person är personuppgifter. Således kommer det i många fall räcka med att en persons namn nämns i ett sms, Worddokument eller i ett mejl och att den informationen kan härledas till en bestämd fysisk person för att det ska anses som behandling av personuppgifter.
GDPR förutsätter att organisationer arbetar riskbaserat. Skyddsnivån ska vara lämplig bland annat i förhållande till databehandlingens risker för den registrerade personens fri- och rättigheter. I synnerhet om den registrerade kan utsättas för diskriminering, skadat anseende, betydande ekonomiska och sociala nackdelar, identitetskapning, bedrägeri m.m. Om föreningen HIV-Sveriges medlemsregister kommer i fel händer och publiceras på internet är risken för att enskilda lider skada sannolikt mycket större än om samma sak drabbar en innebandyförening.
Alla organisationer blir skyldiga att inom 72 timmar rapportera till Datainspektionen om det uppstår en säkerhetsincident som riskerar fysiska personers rättigheter och friheter. Ni måste ha rutiner på plats för detta och kan bli skyldiga att informera de drabbade.
Lagen definierar en viss sorts personuppgifter som känsliga. Till exempel uppgifter om en persons hälsa (inbegripet funktionsnedsättning), religiös, politisk eller filosofisk övertygelse, etnicitet, fackligt medlemskap m.m. Sådana uppgifter får i princip bara behandlas med den registrerades samtycke.
En annan fallgrop att se upp för är att användandet av populära molntjänster som Google Forms, Google Docs, Dropbox, Onedrive, Evernote, Trello, Droptask etc. i många fall innebär överföring av personuppgifter till tredje land (USA räknas som tredje land). När personuppgifter överförs till tredjeland måste den registrerade informeras om detta. Sådan överföring är dessutom bara tillåten om landet eller företaget som personuppgifterna överförs till anses ha en adekvat skyddsnivå eller om ni som organisation vidtagit lämpliga skyddsåtgärder. Ni förväntas ha koll på detta.
Det är viktigt att som förening sätta sig in i vad den nya lagen kommer innebära. Glädjande nog har frågan börjat uppmärksammas. Ett hett tips är att så snart som möjligt börja kartlägga hur ni hanterar personuppgifter.
Kave Noori
Kave Noori är intresserad av mänskliga rättigheter, IT och juridik. Han har studerat offentlig rätt samt varit anställd och förtroendevald i den ideella sektorn. Nyligen gick han en kurs om GDPR. Han är suppleant i Unga Hörselskadades styrelse och studerar på juristprogrammet.
