GDPR träder i kraft 25:e maj i år och ersätter PUL, personuppgiftslagen. Som förening behöver ni följa denna. Mycket i GDPR är samma som i PUL, men det finns några saker att tänka på och den som bryter mot förordningen kan bli ålagd att betala en sanktionsavgift.
Nedan har vi samlat några fakta som de flesta föreningar kommer i kontakt med ofta. För den som vill läsa mer hänvisar vi till Datainspektionens snabbguide för småföretag och andra organisationer.
Vi rekommenderar också Datainspektionens checklista för personuppgiftsansvariga. Värt att notera är att en personuppgiftsansvarig oftast är en juridisk person, t.ex. en förening. Läs checklistan här.
ETT URVAL AV ÅTGÄRDER ATT TA ITU MED INFÖR 25 MAJ 2018:
- Ordna samtycke från medlemmar att spara information som kan knytas till personen. Föreningen måste även kunna styrka att samtycke lämnats.
För befintliga medlemmar behöver ej nytt samtycke samlas in, så länge ni följt PUL då medlemskapet först registrerades.
Samtycke kan återkallas när som helst av en medlem – då har hen rätt att få sin information raderad. Medlemmen har även rätt till ett registerutdrag om sig själv.
Läs mer om samtycke - Radera alla gamla personuppgifter som inte används – överallt – ur medlemsregister och i andra filer i datorn, papper i pärmar etc. Se också över om ni råkar ha icke relevanta uppgifter sparade i registren.
Läs mer om de registrerades rättigheter - Upprätta ett skriftligt policydokument inom föreningen, där det framgår hur och vem/vilka som hanterar personuppgifter samt hur och var uppgifterna samlas/lagras. Personuppgiftsansvariga behöver också föra ett register över behandlingen. Läs mer om att föra register över behandlingen
- Se över vem som har tillgång vid personalbyte och årsmöten. Personer som bytt uppdrag eller lämnat organisationen ska inte längre ha tillgång till uppgifterna.
- Gör alltid en konsekvensbedömning innan nya personuppgifter tas in och vidta åtgärder för att minska riskerna.
Läs mer om konsekvensbedömning - Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade.
Läs mer om incidentrapportering
Källa: Tidningen Musikant – Sveriges Orkesterförbund (text återgiven efter godkännande av redaktören, med tillägg av länkar)