Frågor och svar gällande GDPR

I maj 2018 börjar nya dataskyddsförordningen, GDPR – General Data Protection Regulation, att gälla. Alla företag och organisationer som hanterar personuppgifter omfattas av GPDR. Här förklarar Anette Irebro ansvarig för Biodlarnas medlemssystem vad som gäller.

De som idag, i distrikt och föreningar, är valda till administratörer för Biodlarnas medlemssystem har fått ett personuppgiftsbiträdesavtal tillsänt sig. Det har också de som ansvarar för föreningarnas och distriktens hemsidor fått. Avtalen är mellan Biodlarnas riksförbund som är personuppgiftsansvarig, och respektive distrikt och lokalförening som är personuppgiftsbiträden.

Information om förordningen kommer finnas på vår hemsida www.biodlarna.se

Vad är GDPR?

Dataskyddsförordningen (GDPR) är en ny EU-förordning som börjar gälla 25 maj 2018 och ersätter den tidigare personuppgiftslagen (PuL). Alla företag och organisationer som hanterar personuppgifter omfattas av GDPR.

Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke, måste kunna visa att ett samtycke har lämnats. Organisationen kan inte längre utgå från att en individ lämnat sitt samtycke genom att fylla i en intresseanmälan. För att t ex delge föreningens medlemmar en medlemslista ska tydligt, helst skriftligt, godkännande inhämtas från varje medlem där det tydligt framgår vad syftet är. När det gäller barn måste samtycke inhämtas från vårdnadshavare.

Organisationen måste framöver, inte bara uppfylla de nya reglerna, utan även kunna visa att de följs. Man måste kunna ange syftet med insamlad data, var man lagrar den och vilka som har tillgång till den.

Vad är en personuppgift?

En personuppgift är en uppgift som kan identifiera en fysisk, nu levande person, det kan även vara bild eller röst.

Vad är ett personregister?

Alla register där minst två uppgifter om en person finns med klassas som ett personregister, oavsett om det är ett papper i en pärm, en excelfil eller i ett mejl.

Personuppgiftsansvarig
Förbundet är personuppgiftsansvarig och bestämmer ändamålen och medlen för behandlingen av personuppgifterna i medlemssystemet. Ytterst är det förbundsstyrelsen som är ansvarig för att dataskyddsförordningen följs.

Personuppgiftsbiträde
Distrikt och föreningar är personuppgiftsbiträden och behandlar personuppgifterna för förbundets räkning. Det ska därmed finnas ett avtal upprättat mellan personuppgiftsansvarig och personuppgiftsbiträde. Ytterst är det distrikts- och föreningsstyrelsen som är ansvarig för att avtalet följs.

E-post
Exakt hur reglerna ska tolkas i förhållande till e-post är inte klarlagt ännu. Skickar man inte från medlemssystemet ska man använda ”hemlig kopia” vid utskick till flera personer.

Utökade rättigheter för dem vars personuppgifter vi behandlar GDPR är framtagen för att stärka individens personliga integritet. Det som skiljer GDPR från PuL, i stora drag, är att individen ska ha bättre inblick i hur dennes uppgifter behandlas och ha kontroll över sina egna uppgifter.

På medlemmens begäran har denne rätt att få samtliga personuppgifter raderade helt eller delvis. Förbundet är då skyldiga att tillmötesgå detta och informera andra som behandlat dennes uppgifter att göra detsamma.

Om det finns en annan lagstiftning som kräver att uppgifter sparas, kan dessa uppgifter inte bli glömda. Det kan förekomma en intresseavvägning då organisationen ändå kan spara uppgifter utan personens samtycke. T ex om någon är utesluten, vill bli glömd, men organisationen behöver ha uppgifter för att personen inte ska kunna bli medlem igen.

Rätt att lämna klagomål
En medlem som anser att vi brustit i vår behandling av personuppgifter har rätt att lämna in ett klagomål till Datainspektionen. Detta är vi skyldiga att informera våra medlemmar om. Om klagomålet ”vinner laga kraft” kan Datainspektionen besluta att vi ska betala ut skadestånd.
Läs noga igenom mer information om personers rättigheter på datainspektionens hemsida, www.datainspektionen.se.

Vid eventuella frågor kontakta anette.irebro@biodlarna.se eller 0142-482 003.

Källa: Datainspektionen