Förberedelser för GDPR

GDPR, General Data Protection Regulation, är en EU-förordning som träder i kraft 25 maj 2018. Förordningen ersätter bl a personuppgiftslagen, PUL, som upphör i och med införandet av GDPR. Många som behandlar personuppgifter söker nu svar på hur de skall göra för att leva upp till GDPR.

Inom SBUs sfär är det båtklubbarna som behandlar personuppgifter i störst utsträckning. Glädjande för oss så väljer väldigt många att använda verktyget BAS-K för detta. SBU äger och ansvarar för BAS-K, det innebär dock inte att SBU är personuppgiftsansvarig för klubbens medlemsregister.

Tyvärr går det inte ännu att få särskilt konkreta svar, så är det alltid innan en ny lagstiftning prövats. Det måste fram vägledande fall, prejudikat, för att se hur tillämpningen blir. Man kan dock förbereda sig så mycket som möjligt. Nedan följer en checklista som jag “lånat” av Datainspektionen och justerat för att bättre kunna appliceras på båtklubbsverksamhet.

SBU använder den ursprungliga checklistan (som finns på datainspektionen.se) i det interna GDPR-arbetet.

1. Är klubbstyrelsen medveten om EU:s nya dataskyddsförordning?

Styrelsen är ansvarig för klubbens verksamhet, även administrationen och registerhållning. Med GDPR kommer ekonomiskt kännbara påföljder vid brott. Styrelsen måste ta kontroll över frågan.

2. Vilka personuppgifter hanterar ni?

Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Ta reda på vilka uppgifter som hanteras inom klubbens verksamheter. Medlemsregistret är en del, och ni som använder BAS-K kommer att få råd, stöd och systemanpassningar från SBU. Personuppgifter behandlas dock nästan alltid på fler sätt - mail och kontaktlistor, utskrivna eller digitalt publicerade deltagarlistor av olika slag mm.

3. Använder ni missbruksregeln idag?

Har ni utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln? Denna regel kommer inte att finnas kvar i förordningen. Ni bör därför särskilt undersöka om behandling som idag stödjer sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser.

Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter. Undersök vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt.

4. Vilken information lämnar ni?

Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer ni att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt av er. Viktigt i sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

5. Hur ska ni tillmötesgå de registrerades rättigheter?

Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format. Detta kommer ni som använder BAS-K att få hjälp med. Vi kommer att bygga in stöd i BAS och vi kommer att ge anvisningar och utbildning hur ni hanterar detta.

De viktigaste rättigheterna för de registrerade är att:

På det stora hela kommer de registrerade att ha samma rättigheter som idag men rättigheterna förstärks med dataskyddsförordningen. Om ni redan idag tillmötesgår de registrerades rättigheter bör övergången till den nya förordningen gå relativt smidigt. Det är därför ett bra tillfälle att nu se över era rutiner och fundera på hur ni ska hantera en begäran om rättelse från en registrerad. Kan era system hjälpa er att hitta och rätta uppgifterna? Vem kan besluta om att uppgifter ska rättas?

Dataskyddsförordningen innehåller i likhet med personuppgiftslagen en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt. Det är även viktigt att ni har rutiner att kontrollera att det är rätt person som får del av personuppgifterna.

6. Med vilket rättsligt stöd behandlar ni personuppgifter?

Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser. I en båtklubb behandlar ni medlemmarnas personuppgifter med ett avtalsförhållande som grund. Det finns ett avtal mellan föreningen och medlemmen. Föreningen måste behandla personuppgifter för att kunna upprätthålla avtalet.

Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning.

De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade. Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta. Ni bör dokumentera era slutsatser för att ni också ska kunna visa att ni uppfyller dataskyddsförordningens krav.

7. Hur inhämtar ni samtycke?

Samlar ni in personuppgifter som inte behövs för att upprätthålla “medlemskontraktet”? I så fall kan ni behöva samtycke från den registrerade. Ni bör då undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen.

Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats.

8. Vad ska ni göra vid personuppgiftsincidenter?

Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Använder ni BAS för medlemsregister, fakturering mm så har ni bra säkerhet och övervakning i den tjänsten. BAS, centralt, har plan för incidentrapportering när vi upptäcker sådan. Ni behöver dock ändå ha en dokumenterad plan för hur ni gör om ni själva upptäcker en incident. Särskilt viktigt när ni använder egna system.

Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till tillsynsmyndigheten inom 72 timmar.

Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska ni även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder.

För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att ni har tillräckliga rutiner på plats för att ni ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Ni bör även fundera över vilka risker en sådan incident kan medföra och när ni behöver anmäla händelsen till tillsynsmyndigheten. Tänk på att tidsfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i er organisation så att anmälan kan göras i rätt tid.

9. Har ni byggt in skydd för personuppgifter i era it-system?

Avseende BAS så är detta något vi jobbar med inom BAS. Använder ni andra system måste ni själva tänka på och ta hänsyn till dataskyddsförordningens regler. Är det standardsystem kollar ni hos leverantören hur de anpassar mot GDPR. Tar ni fram egna nya it-system eller förändrar befintliga måste ni själva tänka på detta.

Ni kan göra vissa klubbspecifika registreringar i BAS-K - lägga upp fält som ni själva styr över vad ni registrerar. När ni gör detta måste ni komma ihåg detta när ni informerar medlemmen om vad ni registrerar. Se också till att det finns rättslig grund för registrering av dessa data.

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen.