GDPR

På den här sidan samlar vi  sådan information och sådana anvisningar gällande EU:s dataskyddsförordning (GDPR), som är viktiga för föreningarnas verksamhet.

VAD ÄR GDPR?

  • EU:s dataskyddsförordning eller The General Data Protection Regulation (GDPR).
  • GDPR är en förordning, inte ett direktiv, vilket betyder att alla medlemsländer måste följa den.
  • GDPR har trätt i kraft 2016. Från och med 25 maj 2018 skall hanteringen av persondata ske i enlighet med dataskyddsförordningen.
  • Underlåtelse kan leda till böter om upp till 20 miljoner euro (eller 4% av omsättningen)

SBF OCH SUULI

NYTTIGA LÄNKAR:

DOKUMENTMALLAR

En dataskyddsbeskrivning måste göras separat för varje register, oberoende av om det är i digital eller analogisk form.
En samlingsblankett för alla data som behandlas gör det lättare att kartlägga vem som har tillträde till vilka uppgifter och på vilka grunder. Blanketten Mall för registeransvarig hjälper den registeransvariga att beskriva de behandlingsuppgifter han/hon har på sitt ansvar.

Tietosuojaseloste-mallipohja (Word) (svenska version på kommande)
Tietosuojaselosteen täyttöohjeet (pdf) (svenska version på kommande)

Käsiteltävien henkilötietojen keräyslomake -mallipohja (Excel) (svenska version på kommande)
Mallipohja rekisterinpitäjälle (Excel) (svenska version på kommande)

AKTUELLT

6.6.2018: Gemensamt personuppgiftsansvar för SBF och föreningarna

14.4.2018: På vårförbundsmötet presenterades GDPR- material för föreningarna.

16.3.2018: Infobrev till föreningarna: Uppdateringar gällande SBF:s GDPR-projekt.

12.3.: Föreningarna borde förbereda sig genom att inventera alla de register (både pappers-och digitala), som de uprätthåller. Det gäller alltså att göra en lista på alla de register, som innehåller persondata (t.ex. namn, postadress, email-adress.). Det är skäl att överväga vilka register, som verkligen är nödvändiga – för de här registren måste nämligen finnas lagenliga registerspecifikationer. Mera uppgifter om lagen om persondata >>  Information finns också i den manual, Miten valmistautua EU:n tietosuoja-asetukseen? som justitieministeriet och dataombudsmannen har utgivit och på adressen:  http://www.tietosuoja.fi/sv/index/euntietosuojauudistus.html.

5.2.: Meddelande till föreningarna:  Projektet EU- dataskyddslagstiftning (GDPR), sådant det drivs av Segling och Båtsport i Finland.

Suuli- medlemsregistret och GDPR: Både föreningarna och förbundet fungerar som registeransvariga enligt artikel 26. Rollerna för båda parterna kommer att preciseras under våren.

De här sidorna uppdateras allt eftersom arbetet framskrider. Frågor och kontakter: gdpr@spv.fi

GDPR FAQ – OFTA STÄLLDA FRÅGOR

1.Kommer SBF att ge instruktioner till medlemsföreningarna om hur man i praktiken rättar sig efter GDPR- reglerna?
Förbundet arbetar på att producera material, som hjälper föreningarna att uppfylla GDPR- kraven. Detta material kommer att förmedlas till föreningarna via de här sidorna (spv.fi/gdpr). Sidorna uppdateras och kompletteras allt efter som projektet framskrider.

2. Det är lätt att infoga en text om GDPR i nya medlemsansökningar – men hur är läget beträffande dem som redan finns i Suuli?
Lagen kräver, att varje förening upprätthåller ett medlemsregister och därmed samlar persondata. Medgivande till marknadsföring måste skötas enligt GDPR:s krav. I Suuli  utgår man från att personuppgifterna inte får användas för marknadsföring, men detta förbud är inte implementerat.  Därför borde föreningen informera varje medlem att han/hon själv uppdaterar sina och sina omyndiga barns registeruppgifter eller gör det via sin förenings administration. Beträffande övriga register än Suuli bör föreningen försäkra sig om, att registrering av uppgifterna är nödvändiga och att de baserar sig på verksamhetens krav och på föreningens stadgar.

3. Hur kan en person fungera i en förening och få tillgång till de medlemsförmåner, som erbjuds, ifall personen inte låter föreningen registrera några uppgifter?

Lagen kräver att namn och hemort för varje medlem finns i medlemsregistret, om man inte accepterar detta kan man inte verka inom föreningen. Enligt lagen skall medlemsregistret vara offentligt för föreningens medlemmar. Se Föreningslagen 11§ 2 mom. och Personregisterlagen 8§.

4. Kan inte eliminerandet av de egna personuppgifterna innebära att man avgår från föreningen eller att man ger föreningen en grund för uteslutning?
Efter att medlemskapet har upphört är det möjligt att ta bort uppgifterna ifall inte föreningen har vägande skäl (exempelvis Bokföringslagen, Lagen om arbetsavtal) att hålla kvar uppgifterna. Möjligheten att offentliggöra uppgifter om en medlem och deras användning för kontakt- eller marknadsföringsändamål baserar sig på föreningens stadgar och medlemmens godkännande av detta bruk.

5. Efter att medlemskap har upphört: Bör föreningen bekräfta åt personen, att uppgifterna har raderats?
Uppgifterna bör raderas inom 30 dagar. Om detta inte är möjligt bör personen i fråga informeras.

6. Kan fakturering av medlemsavgifterna och övervakning av betalningarna godkännas som grund för olika användarrättigheter?
Om faktureringen och övervakningen av betalningarna kräver att medlemmens kontaktuppgifter registreras, har föreningen rätt att registrera dem.

7. Kan man inte i en förening tolka, att medlemsansökan samtidigt har utgjort ett medgivande till att personuppgifterna får behandlas? Om en medlem inte ger sitt samtycke till att uppgifterna behandlas skulle inte medlemskap eller exempelvis rätt till båtplats vara möjliga.
Föreningslagen stipulerar, att medlemsuppgifterna samlas i ett medlemsregister.  Enligt GDPR måste den, som registreras informeras om att uppgifterna har registreras och om hur de används och hur länge de förvaras. Om exempelvis avtal om hamnplats förutsätter registrering och behandling av personuppgifter får dessa registreras. Föreningarna rekommenderas att i sina stadgar definiera hur personuppgifter används.

8. På vilka grunder och i vilka sammanhang tagna bilder kan publiceras på nätet (t.ex. föreningens hemsidor eller Facebook) eller i tryckta publikationer och medlemsbrev? I vilka sammanhang krävs personens eller, för minderårig, förmyndares tillstånd och när krävs det inte?
Se dataombudsmannens instruktioner: (http://www.tietosuoja.fi/sv/index/materiaalia/oppaat.html, FÖRENINGS MEDLEMSFÖRTECKNINGAR OCH LAGEN OM PERSONUPPGIFTER, uppdaterad 27.07.2010) och de GDPR- artiklar, som gäller behandling av registerdata för minderåriga.  Notera instruktionerna på dataombudsmannens sidor:  http://www.tietosuoja.fi/sv/index/lapsillejanuorille/mitatietosuojallatarkoitetaan/kuvatjaniidenjulkaisunetissa.html. Beträffande publicering av bilder måste också beaktas de begränsningar, som ställs av bestämmelserna om personlig integritet.

9. Många föreningar har årligen publicerat en medlemsförteckning t.ex. i en årsbok eller medlemstidning. Måste man frångå detta?
Se dataombudsmannens instruktioner (http://www.tietosuoja.fi/sv/index/materiaalia/oppaat.html) och speciellt GDPR- inledningsdelen 99.
Denna senare (99) säger så här (fri översättning): ”Då reglerna om användning av data uppgörs, ändras eller utvidgas, skall den förening eller det organ, som representerar de registeransvariga, höra möjliga intressegrupper och i mån av möjlighet också de registrerade, och beakta de svar som erhållits och de synpunkter som har kommit fram.”
Dataombudsmannens byrå har utrett frågan om publicering av medlemsuppgifter och gett ut en instruktion om ”förenings medlemsregister och lagen om persondata” år 2010:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfqOozpn/Yhdistyksen_jasenluettelot_ja_henkilotietolaki.pdf 

I kapitel 6.6. nämns bl.a. den möjligheten att uppgifter ur medlemsregistret kan publiceras i tryckt text utan separat tillstånd av vederbörande medlem ifall det sker i enlighet med föreningens stadgar och därmed i enlighet med hur registeruppgifter skall användas. Dataombudsmannens byrå har bekräftat, att denna instruktion fortfarande gäller. Man rekommenderar ändå, att detta beskrivs i specifikationen för ifråga varande register. Publicering på nätet av medlemsförteckning eller ens lista över vaktturer kommer inte på fråga utan vederbörandes tillstånd. Instruktionen gäller tills vidare, men torde uppdateras då den nya lagen träder i kraft.

10. Inte behövs väl tillstånd ifall uppgifterna används enbart för föreningens egentliga verksamhet utan enbart ifall de används för något annat ändamål, t.ex. marknadsföring?
Registrering av uppgifter för medlemsregistret och för föreningens egentliga verksamhet är motiverad.  Gränserna för den egentliga verksamheten måste bedömas åtminstone utgående från föreningens stadgar och ändamål. Marknadsföring måste basera sig på den registrerades medgivande.

11. Räcker det inte att vi har en lista på medlemmar, som har betalt medlemsavgift? Måste födelsedatum tas bort?
Födelsedatum kan vara nödvändigt t.ex. för att skilja på medlemmar med samma namn.

12. Räcker ett per email erhållet medgivande till behandlingen av data?
I den nya förordningen finns detaljerade regler för hur man ber om medgivande. Detta måste basera sig på fritt val och ett individuellt och medvetet uttryck för vilja.  Detta innebär, att medgivandet måste basera sig på tillräcklig information om beslutets betydelse och behovet av behandlingen av dessa data. Medgivande annullerar inte kravet på att behandlingen av data är nödvändig. Dataombudsmannen har ansett, att medgivande inte kan ges för en annan person. Medgivandet måste vara dokumenterat. Därför räcker ett medgivande per email, men mottagaren måste försäkra sig om avsändarens identitet.

13. Vad gör man i det fallet, att man inte får medgivande eller svar på frågan om medgivande? Man kan väl inte ta bort den betalande medlemmen från listorna?
Att upprätthålla medlemsregister är obligatoriskt för föreningen. Lagrandet av övrig information baserar sig på föreningens stadgar och de krav, som dess verksamhet ställer. Medgivandet inverkar framför allt på möjligeten till marknadsföring.

14. Måste man nu av varje medlem separat be om tillstånd att få använda email-adressen?
Enligt lag måste föreningen upprätthålla medlemsregister. Lagrandet av övrig information baserar sig på föreningens stadgar och de krav, som dess verksamhet ställer. Se dataombudsmannens instruktioner.

15. Hur dokumenterar man jakande svar?
16. …………och ändringar?
17. Över huvud taget, vilka instruktioner finns för hur man dokumenterar och kan påvisa situationen beträffande medgivanden?
Förordningen tar inte ställning till hur dokumenteringen sker. Vid behov skall registeransvariga kunna visa att medgivande har fåtts. Rekommenderas, att man i föreningens stadgar specificerar hur persondata används i föreningen.

18. Vi har ansökningsblanketter, som fylls i på nätet: medlemsansökan, vinterförvaring, båtplats, skåphyra. Vad bör beaktas för dessa ansökningar? Vad får man fråga och vad måste man fråga?  Kan man till dem foga en fråga som gäller dataskydd och är den i så fall giltig eller måste man skicka en separat förfrågan om detta?
Närmare instruktioner kommer senare. I detta skede rekommenderas, att på ansökningsblanketten finns en text, som bekräftar, att den som lämnar in ansökan godkänner att uppgifterna registreras och används.

19. Vilka omständigheter måste noteras i GDPR- processen? Kommer det någon preliminär instruktion om detta, som föreningarna kan modifiera enligt sina egna behov?
Insruktioner ges senare

20. Vem kan vara ansvarig för datasäkerhet? Vad behövs för denna uppgift?
Se dataombudsmannens instruktioner: (http://www.tietosuoja.fi/sv/index/materiaalia/oppaat.html, Uppdaterad 27.07.2010). Instruktionen  äri kraft tills vidare men uppdateras troligen i samband med att den nya lagen träder i kraft.

21. Är det skillnad på föreningar och företag vad beträffar dataskydd eller gäller GDPR på samma sätt för båda kategorierna? Vilka skillnader finns?
I princip ingen skillnad. Naturligtvis inverkar organisationens storlek på hur GDPR appliceras.