GDPR

Hög tid att förbereda er för nya dataskyddsförordningen

 

Här har ATR tillsammans med Ung Teaterscen sammanställt det viktigaste ni behöver tänka på innan och efter att dataskyddsförordningen träder i kraft.

 

Den 25 maj ersätter EU:s dataskyddsförordning (GDPR) den svenska personuppgiftslagen. Syftet är att förbättra EU-medborgarnas integritetsskydd. Den nya förordningen ställer strängare krav på hur personuppgifter hanteras. Nu behöver alla föreningar se över hur uppgifter om medlemmar och anställda hanteras så att ni den 25 maj efterlever den nya lagen.

 

På vår hemsida finns en FAQ där du kan titta om du har frågor. Finns inte svar på din fråga är det bara att höra av dig! Maila medlem@atr.nu

 

GDPR omfattar alla organisationer, företag och myndigheter inom EU. Syftet är att ge individen större makt över sina personuppgifter. Med en personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innefattar även bland annat bilder på människor.

Det här är nytt i GDPR jämfört med PUL

I nuvarande personuppgiftslag finns ett undantag för så kallad ostrukturerad information, till exempel personuppgifter i löpande text. Det undantaget försvinner i och med GDPR, vilket gör att alla slags personuppgifter omfattas. Det innebär att även personuppgifter i exempelvis protokoll och mejl har samma skydd som i ett register. En annan viktig nyhet är att kännbara böter kan delas ut till dem som bryter mot förordningen.

Läs mer om GDPR på Datainspektionens webbplats.

Vad innebär det här för er?

De innebär kortfattat att ni innan 25 maj måste GDPR-säkra er personuppgiftshantering och implementera rutiner som säkerställer att ni efter 25 maj lever upp till lagstiftningen. Att GDPR träder i kraft är ett toppenbra tillfälle att se över era rutiner för personuppgiftshantering och säkerställa att ni hanterar era medlemmar, tidigare medlemmar, anställda och förtroendevalda i enlighet med lagen och med integritet!

Vad ska ni göra inför 25 maj?

–          Utse ansvarig. Se till att ni har en person som är utsedd ansvarig för medlemsregistret.

–          Se över vilka personuppgifter ni lagrar. Personuppgifter om era medlemmar, förtroendevalda, anställda, etc är säkert bara ett axplock av alla personuppgifter ni hanterar. Hanterar ni uppgifterna på ett säkert sätt i enlighet med kraven som lagstiftningen ställer? Tänk på att bara de som behöver det har tillgång till uppgifterna, och att ni bara lagrar uppgifter ni behöver lagra. “Bra att ha”-uppgifter är inte ok att lagra.

–          Gallra gamla personuppgifter. Har ni gamla medlemslistor i en pärm, en e-postlista som inte uppdaterats, Googlegrupper, Drivedokument med personuppgifter som inte behövs längre? Då ska det raderas. Om ni lagrar eller hanterar personuppgifter ni inte har anledning eller grund för att lagra ska de också raderas.

–          Se över sociala medier. Om ni har konton på sociala medier, till exempel en sida för föreningen på Facebook, tänk på att ni inte får publicera personuppgifter (bilder inkluderat) på personer utan deras samtycke.

–          Prata om GDPR i föreningen med styrelse och anställda. Säkerställ att alla är medvetna om att GDPR träder i kraft och vad det innebär.

–          Säkerställ att ert medlemsregister är GDPR-säkert. Medlemsregistret ni använder måste vara GDPR-säkert. Använder ni er av Arcmember är detta inget problem men använder ni er av egna parallella system måste ni säkerställa att de uppfyller kraven GDPR ställer. Mer information om detta finns på vår hemsida under “GDPR – frågor och svar ”

–          Skriv biträdesavtal med förbundet och andra som har tillgång till de personuppgifter ni lagrar. Att ha ett biträdesavtal mellan föreningen och andra som behandlar de personuppgifterna ni är ansvariga för är enligt lagen ett krav. Förbundet kommer att skicka ut ett biträdesavtal för er att signera.

 

Vad gäller den 25 maj när GDPR trätt i kraft?

–          Samla inte in uppgifter i onödan. Evenemangsanmälningar kan behövas ibland, till årsmöten och konferenser. Informera den som anmäler sig om hur deras personuppgifter kommer att hanteras och se till att gallra uppgifterna när de inte längre behövs.

–          Se till att ha grund för de uppgifter ni samlar in. Var extra noga med att informera om vilka uppgifter ni sparar och var ni sparar dom så är detta inget problem. Be om samtycke om ni blir osäkra.

–          Gallra personuppgifter ni inte längre behöver spara. Ni får inte spara uppgifter ni inte behöver ha. Om t.ex. en gammal medlem kommer och vill bli borttagen och bortglömd har den enligt lagstiftningen rätt till det. Ni ska då radera alla personuppgifter ni har om personen.

–          Om ni vet eller misstänker att personuppgifter som ni själva är ansvariga för har kommit i fel händer, anmäl omgående till Datainspektionen.

Vi rekommenderar att ni går in och läser mer om GDPR på Datainspektionens hemsida, tar upp saken på ert nästa styrelsemöte och med anställda så att alla får koll på vad som gäller.

Som sagt är detta ett toppenbra tillfälle att se över era rutiner för personuppgiftshantering! Har ni frågor kan ni surfa runt lite på Datainspektionens hemsida – den har tydlig och lättillgänglig information – höra av er till förbundet på medlem@atr.nu eller kolla FAQ på Ung Teaterscens hemsida .