Den nya dataskyddsförordningen, GDPR, berör även mindre föreningar och medlemsorganisationer. Medlemmarna inom en sådan organisation, såsom en bostadsrättsförening eller en idrottsklubb, innehar därmed ett ökat skydd vad beträffar deras personliga integritet. Har ni ett medlemsregister där exempelvis medlemmarnas namn och adress finns? Då följer ett antal skyldigheter som måste tas hänsyn till. Detta bör ni som mindre förening eller medlemsorganisation tänka på för att uppfylla kraven i GDPR!
Rättslig grund
För att organisationen ska få behandla en personuppgift krävs stöd i en rättslig grund. Men vad innebär egentligen rättslig grund? Det betyder att ni behöver lagstöd för att hantera uppgifterna. Dessa sex stycken olika grunder finner ni således i förordningen, art 6.
Exempel: Vi tar ett exempel där ni samlar in namn och adress för att kunna teckna ett medlemsavtal. Den rättsliga grunden blir då ”avtal med den registrerade ska kunna fullgöras”. Om föreningen även samlar in en bild på medlemmen (och denna inte behövs för att uppfylla avtalet), så krävs härmed en annan rättslig grund att stödja sig på, exempelvis samtycke.
En tumregel att ha i åtanke är att inte samla in fler uppgifter än vad som troligen behövs, och se över om personuppgiften är väsentlig för att uppfylla ändamålet med behandlingen. Att spara personuppgifter för att ”de kanske är nödvändiga i framtiden” eller är ”bra att ha” är inte en giltig grund för behandling av personuppgifterna. Det är även viktigt att minimera mängden uppgifter och inte spara personuppgifterna längre än det behövs samt att ha ett specifikt syfte.
Starkare skydd för personnummer och känsliga personuppgifter
Sparar ni era medlemmars personnummer? Då kan det vara en god idé att läsa vidare. Personnummer ska nämligen skyddas särskilt och därför krävs det att ni klart motiverar varför ni sparar personnumret. Som exempel kan ges om uppgiften är nödvändig för säker identifikation av den registrerade. Om ni inte har ett tydligt ändamål med att spara personnumret så får det enligt förordningen inte sparas. GDPR nämner även särskilda kategorier av personuppgifter som är särskilt känsliga. Dessa personuppgifter åtnjuter därför också ett särskilt skydd. Exempel på särskilda kategorier är uppgifter om hälsa eller medlemskap i fackförening. Utgångspunkten är att sådana uppgifter inte får behandlas. Undantag från denna huvudregel kräver särskilt lagstöd, exempelvis så utgör ett sådant stöd samtycke.
Exempel: Ibland är det lätt att glömma bort att organisationen hanterar en känslig personuppgift. Man kan tänka sig att en förening i vissa fall behandlar uppgifter om en registrerads allergier. Eftersom en sådan uppgift är hänförlig till den registrerades hälsa blir allergin därmed en känslig uppgift.
Publicering, utlämnande eller utskick av medlemsregister
Om ni som förening eller medlemsorganisation vill publicera ert medlemsregister på er hemsida kräver detta stöd av en rättslig grund. Stöd i rättslig grund krävs också om en person efterfrågar ett utdrag från medlemsregistret eller om ni vill göra ett utskick av detta. Samtycke är en rättslig grund att luta sig på i detta fall. Medlemmen måste därmed godkänna att personuppgifterna publiceras, lämnas ut eller skickas vidare.
Barn över 16 år bör som utgångspunkt själva kunna ge sitt samtycke. För barn mellan 13-16 år får det, i varje enskilt fall, göras en bedömning av huruvida barnet förstår innebörden av att ge sitt samtycke till det åsyftade ändamålet. Om uppgifterna tillhör barn under 13 år krävs alltid vårdnadshavares tillåtelse. Det finns alltså inte en tydlig åldersgräns, och i föreningssammanhang, när det gäller barn mellan 13-16 år, måste ni alltså bedöma barnets förståelse av ändamålet med behandlingen.
Informationsplikt till medlemmarna
När ni samlar in information om en medlem måste ni bland annat informera den berörde om vilken information ni samlar in och varför. Informationsplikten gäller även vad beträffar rätten till tillgång, där medlemmen ska informeras om att denne exempelvis har rätt att få tillgång till uppgifterna och få felaktiga sådana rättade. Plikten gäller både nya och gamla medlemmar.
Viktigt att också tänka på
Ni som mindre förening eller medlemsorganisation har likt företag och organisationer skyldighet att skydda er personuppgiftsbehandling. Detta ska ske genom att företa adekvata tekniska och organisatoriska säkerhetsåtgärder. Skulle det ske en s.k. personuppgiftsincident har ni även i vissa fall skyldighet att rapportera dessa. Använder ni er av utomstående part som behandlar personuppgifter för er räkning är det också viktigt att tänka på upprättande av biträdesavtal. Det finns oftast också en skyldighet att ha ett register över personuppgiftsbehandlingarna, läs mer här om varför det är så viktigt.