GDPR

25:e maj träder nya Dataskyddsförordningen (GDPR) i kraft. Det är en lag som innebär stärkt integritetsskydd för alla individer. GDPR ställer höga krav på organisationer och företag i hur vi hanterar personuppgifter och skyddar de uppgifter vi hanterar. Det kan kännas som om det är mycket att ta in, men det är viktigt att vi gör rätt!

Introduktion

Dataskyddsförordningen GDPR (General Data Protection Regulation) trädde i kraft den 25 maj 2018! Det innebär att vi har behövt göra en hel del förändringar i hur vi behandlar personuppgifter. GDPR ställer höga krav på att vi ska vara säkra på att personuppgifterna vi hanterar inte missbrukas och att vi hanterar personlig information varsamt och med den respekt den förtjänar.

GDPR gäller alla, även oss som ideell organisation! 

Frågor?

Tveka inte att höra av dig! GDPR kan kännas snårigt och svårt, och vi på kansliet finns här för att svara på dina frågor! Hör av dig till info@nsf.scout.se

Utbildning

Titta igenom IOGT-NTO:s GDPR utbildning här https://play.sobernet.nu/videos/video/944/

Du behöver ett lösenord för att kunna titta på utbildningen, hör av dig till gdpr@nsf.scout.se så skickar vi det till dig!

Ladda ner åhörarkopian till utbildningen här!

Checklista

Här följer en kort checklista med steg som ni i kåren behöver göra för att säkerställa att ni följer den nya lagen. I dokumentet Guide till inventering av personuppgifter finns dessa punkter förklarade lite mer ingående.

  1. Ta reda på vad GDPR innebär för kåren
  2. Besluta om ansvarsfördelning
  3. Gör en tidsplan
  4. Inventera – vilka personuppgifter som hanteras och var de sparas
  5. Rensa det som inte får finnas kvar och arkivera det som ska arkiveras
  6. Ta fram rutiner och riktlinjer för framtida hantering av personuppgifter
  7. Anpassa verksamheten till de nya riktlinjerna och håll er uppdaterade

Nedanför finns dokument och mallar du kan använda dig av i detta arbetet!

Dokument

Här kan du hitta dokument du kan ha till hjälp för kårens GDPR-arbete. Under arbetets gång kommer vi fylla på med fler dokument och mallar här.

Guide för inventering av personuppgifter

Inventeringsmall

Rekommendation för rensning och arkivering

Samtycke för bildpublicering (minderårig)

FAQ

Vad är GDPR (Dataskyddsförordningen)?

Den 25 maj 2018 trädde den europeiska dataskyddsförordningen General Data Protection Regulation, GDPR, i kraft. Dataskyddsförordningen gäller för alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. Man får behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning till exempel. De registrerade kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Dataskyddsförordningen innehåller några viktigare nyheter:

  • När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  • Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna (konsekvensbedömning).
  • Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade (anmälan om personuppgiftsincident).
  • Vissa organisationer; myndigheter, de som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  • Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  • I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor, missbruksregeln. Den innebär kort och gott att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när dataskyddsförordningen träder i kraft. Sådan behandling måste alltså följa förordningens regler.

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

Hur påverkar GDPR NSF som organisation?

Den största påverkan jämfört med nuvarande lagstiftning är att vi som organisation måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både scoutkårer och NSF nationellt. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten, och det måste vara tydligt för den vi behandlar uppgifter om att vi gör det, vilka uppgifter vi behandlar och varför.

Vilken skillnad är det mot tidigare PUL?

När det gäller ”Samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat. Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln” har tagits bort och även material i ostrukturerad form omfattas av GDPR. Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Vem är ansvarig för medlemmarnas personuppgifter?

NSF som förbund, kårer, distrikt och kretsar är gemensamt personuppgiftsansvarig för behandlingen av personuppgifter i medlemssystemet.

Med gemensam behandling och gemensamt ansvar avses den behandling som görs i det gemensamma medlemssystemet dit förbundet och kår/distrikt/krets har gemensam tillgång. Så fort uppgifterna har tagits ur systemet ansvarar den juridiska person som hämtat uppgifterna själv för den vidare behandlingen av uppgifterna.

Varje användare har specifika behörigheter utifrån sitt uppdrag och ser i registret i regel endast de uppgifter som deras uppdrag kräver. Det innebär att varje kår/distrikt/krets som huvudregel enbart har tillgång till uppgifterna i registret om sina egna medlemmar.

Mer information om ansvarsfördelningen kan du läsa i NSF:s Integritetspolicy, bilaga 1 Gemensamt personuppgiftsansvar.

När behöver vi teckna biträdesavtal?

När du blir medlem i NSF ansluts du automatiskt till Scouterna (802006-2942) och blir därmed också ansluten till World Organisation of the Scout Movement (WOSM) eller World Association of Girl Guides and Girl Scouts (WAGGGS). Information om scoutkårer och medlemmar i NSF delas med Scouterna i enlighet med aktuellt samverkansavtal.

Kan jag som är avdelningsledare ha en utskriven medlemslista i min pärm?

Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.

Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.

Om en scoutledare får ett mail av en förälder till en scout, som meddelar barnets personuppgifter, omfattas det då av GDPR och hur ska det hanteras?

Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då barnets uppgifter skrivits in i t.ex. eBas, finns det inte längre någon anledning att spara e-postmeddelandet, utan det kan, och bör, raderas.

Tänk på att många webmail-lösningar (till exempel Gmail) skiljer på att arkivera och radera meddelanden. Det är ditt och din scoutkårs ansvar att förstå hur din maillösning fungerar och se till att mail med personuppgifter verkligen raderas när de ska.

Ett förslag är att ni inför en policy i scoutkåren över hur ni ska hantera personuppgifter via e-post och dokumenterar detta. Tänk på att vissa personuppgifter är känsliga personuppgifter, t.ex. personnummer. Dessa måste hanteras med extra försiktighet.

På scoutkårens webbsida och i annat material  finns det bilder på lekande barn. Kan vi ha kvar dessa?

Till att börja med måste barnet vara identifierbart på bilden för att den ska omfattas av GDPR. För att kunna använda bilderna måste ni inhämta samtycke från barnens vårdnadshavare för att få publicera bilden.

Vad får vi arkivera?

Personuppgifter får inte får sparas längre än nödvändigt. ”Det kan vara bra att ha i framtiden” är inte ett tillräckligt motiv. I vissa fall finns det laglig grund att arkivera dokument, t.ex. gäller det protokoll och avtal.

Som stöd i ert arbete med arkivering och rensning har förbundet tagit fram en rekommendation som ni hittar på hemsidan. Använd den som utgångspunkt och diskutera utifrån era förutsättningar. Observera, rekommendationerna är förslag, om ni i era egna riktlinjer har andra tidslinjer utifrån ert berättigade intresse så är det ok om det är ändamålsenligt.

Ett arkiv kan vara digitalt eller fysiskt. Gemensamt för de båda är att det ska vara en begränsning vad gäller vilka som har tillgång till arkivet.

Vad gäller för protokoll som innehåller personuppgifter?

Protokoll är en form av officiell handling. Det finns ett motiverat berättigat intresse för all framtid att spara ett protokoll. Det finns ett juridiskt och föreningshistoriskt syfte till att protokoll arkiveras. Det är ett juridiskt dokument som man behöver.

Vad gäller för namnteckningar i dokument och personnummer som ligger på t ex hemsidan? Får vi publicera dem?

Namnteckningar är inte en känslig uppgift enligt lagen, men särskilt skyddsvärd, precis som personnummer. Personnummer i t.ex. firmateckningsprotokoll ska tas bort innan sådana protokoll publiceras. Det kan vara lämpligt att hantera namnteckningar på samma sätt. Men det är inte förbjudet att publicera det, det sker ju ofta i tex öppna brev.

Vad är en incident? Vad gäller för incidentrapportering?

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

En personuppgiftsincident ska inom 72 timmar anmälas till Datainspektionen (dock inte om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter). Detta för att Datainspektionen ska se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Datainspektionen också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

Vid en personuppgiftsincident på kåren ansvarar (om inget annat bestämt) kårordföranden för incidentrapporteringen till Datainspektionen. Vid en incident på nationell nivå eller gällande medlemsregistret rapporterar GS Linn Ternefors. 

En medlem har begärt ut alla uppgifter om sig själv? Vad behöver vi tänka på?

En medlem har rätt att få tillgång till sina personuppgifter. För att på bästa sätt kunna ge den information som efterfrågas kan det vara bra att fråga om det är någon specifik information personen vill ta del av. Den som lämnar ut uppgifter behöver säkerställa att den du lämnar uppgifterna till verkligen är den person som förfrågan gäller. Här är det extra viktigt att undersöka om uppgifterna som ska lämnas ut hör till en person med skyddad identitet. Vi rekommenderar att kår och förbund kontaktar varandra när en förfrågan om att lämna ut registerutdrag inkommer.

Vilka har tillgång till kårens uppgifter i medlemsregistret eBas?

  • De ledare i kåren som styrelsen beslutat ska vara medlemsregistrerare.
  • De i distriktsstyrelsen som fått distriktsstyrelsens uppdrag att vara registeransvarig.
  • De personer på nationell nivå som i sitt uppdrag har behov av att kunna hantera medlemsregistret. Det handlar om personal, förbundsstyrelse och kommittéer.

Grundregeln är att ingen ser eller kan göra fler behandlingar än nödvändigt. Det finns rutiner för att varje år se över och rensa bort de som inte längre ska ha behörighet. Till exempel ber vi kåren att varje år bekräfta vilka som är registeransvariga för kåren.

Hur får jag tillträde till IOGT-NTO:s utbildning

Titta igenom IOGT-NTO:s GDPR utbildning här https://play.sobernet.nu/videos/video/944/

Du behöver ett lösenord för att kunna titta på utbildningen, hör av dig till gdpr@nsf.scout.se så skickar vi det till dig!

Vad är en känslig personuppgift?

Enligt personuppgiftslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Det är förbjudet att behandla känsliga personuppgifter. Personuppgiftslagen innehåller dock vissa undantag från förbudet.

Vad gäller för samtycke? Hur samlar vi in?

Vilka policys har förbundet som påverkar kåren? 

Kopplat till frågan om personuppgifter är det NSF:s integritetspolicy som också berör kåren. Där beskrivs vilka uppgifter som samlas in och hanteras i medlemsregistret.

Behöver vi ha en integritetspolicy i kåren?

Ni behöver inte ha en egen integritetspolicy, men det är viktigt att ni ser över era rutiner och riktlinjer för hantering av personuppgifter. Förbundet har publicerat en guide och mallar för hur ni går tillväga: https://www.nsf.scout.se/karservice/gdpr/

Vi har verifikationer i bokföringen som innehåller personuppgifter. Får vi spara dem?

I detta fall finns annan lagstiftning, bokföringslagen. Där framgår att verifikationer kopplat till bokföringen ska sparas i sju år. Finns annan lagstiftning gäller den före GDPR.

Hur gör vi med bilder?

Finns det någon tidsgräns för arkivering av verksamhetsberättelser, protokoll etc? Vad gäller för verksamhetsberättelser med personuppgifter som tidigare delats ut till medlemmar?

Material som delats ut innan GDPR trädde i kraft behöver ni inte inventera eller begära tillbaka. För kommande verksamhetsberättelser rekommenderar vi er att använda bilder på scouter som godkänt medverkan på bild i internt informationsmaterial. Ni kan använda förbundets mall för sådant medgivande. Verksamhetsberättelser och protokoll är officiella dokument som visar kårens historia. De kan ni i arkivplan ange ska arkiveras för framtiden. De verksamhetsberättelser som delas ut vid årsmöte blir privata och är helt OK för de medlemmarna att spara.

Styrelse- och årsmötesprotokoll – behövs det en förteckning på allt som finns sparat? Alla namn som finns i respektive protokoll osv?

Blir en vald till ett uppdrag i en ideell förening kan en räkna med att få sitt namn angivet i protokoll och verksamhetsberättelser. Ni behöver inte upprätta specifika listor på dessa.

Epost och Google drive – just nu används privata epost-adresser för kommunikation i styrelsen och till våra medlemmar. Behöver vi skaffa speciella mejladresser för att sköta kommunikation, använda google drive etc? Tänker på ägandeskap av dokument etc.

Här rekommenderar vi er att ni skaffar separata e-postkonton för ledaruppdragen respektive era privata åtaganden. Det är allra enklast för att separera de olika rollerna. Olika kårer har valt olika vägar. Förbundet erbjuder e-postadresser via sobernet. Kåren är fri att använda vilket system ni vill som uppfyller säkerhetskraven i lagen. Om ni ändå väljer att använda privata e-posten för kåruppdrag bör ni skapa en mapp för kåruppdragen där ni samlar alla mejl som hör dit. Den bör rensas regelbundet och ni bör ha en rutin att be ledare radera information där när de slutar sina ledaruppdrag.

Frågestund!

I april 2018 hade vi en frågestund om GDPR där NSF:s GDPR-patrull tillsammans med IOGT-NTO:s jurist Linda Fröström svarade på frågor. Här kan du kolla in vad som sades då! Har du fler frågor hör gärna av dig till gdpr@nsf.scout.se!

*ljudet krånglar i början av filmen, men håll ut – det finns många bra svar, och ljudet blir bättre!

Läs mer:

Integritetspolicy – hur vi behandlar dina personuppgifter

https://www.datainspektionen.se/vagledningar/en-introduktion-till-dataskyddsforordningen/

https://www.datainspektionen.se/vagledningar/for-foreningar-och-sma-organisationer/

 

 

Hitta din kår

Nykterhetsrörelsens Scoutförbunds lokalföreningar, scoutkårerna, finns på många orter i Sverige. För att hitta din närmast kår, klicka på kartan eller fyll i namnet på din ort eller postnummer nedan:

    Scoutlagen

    1. En scout söker sin tro och respekterar andras.
    2. En scout är ärlig och pålitlig.
    3. En scout är vänlig och hjälpsam.
    4. En scout visar hänsyn och är en god kamrat.
    5. En scout möter svårigheter med gott humör.
    6. En scout lär känna och vårdar naturen.
    7. En scout känner ansvar för sig själv och andra.
    LÄS MER OM VÅR VÄRDEGRUND
    Vill du bli medlem?
    Ja!