Ledarskap

Kulturens ledarutbildning

Vad är GDPR och varför är det viktigt för dig?

 

Vad är GDPR?

GDPR är en förordning (lag) med syftet att stärka skyddet för fysiska personer vid behandling av personuppgifter. En personuppgift kan vara information om anställda,  medlemmar, kunder eller potentiella kunder. 

Lagen är framarbetad av EU och genom denna förordning gäller samma regler inom alla EU:s medlemsstater. 

Se filmen nedan för mer information (filmen är på engelska och tyvärr utan text)

 

Ordlista för viktiga ord i samband med GDPR

  • GDPR – Den nya Dataskyddsförordningen (General Data Protection Regulation). Trädde i kraft 25 maj 2018.
  • Datasubjekt – Den som registreras.
  • Behandling – Allt du gör med de personuppgifter du hanterar. Också att lagra dem
    är en behandling. Har du en personuppgift så behandlar du den. 
  • Personuppgift – All information som kan knytas till en nu levande person. Några exempel är: Namn, adress, personnummer, fotografi, ip-adress eller registreringsnummer.
  • Känslig personuppgift – Uppgifter om hälsa, religiös eller filosofisk övertygelse,  etniskt ursprung, medlemskap i fackförening, sexuell läggning eller biometriska uppgifter (fingeravtryck, iris och liknande). En utgångspunkt är att det är förbjudet att behandla känsliga personuppgifter, utom i särskilda fall om personen i fråga gett ett samtycke. 
  • Personuppgiftsansvarig – Förkortas ”PuA” och är vanligtvis den juridiska person som bestämmer för vilka ändamål och hur behandlingen ska gå till. Många föreningar är en juridisk person. Om föreningen inte är en juridisk person så är det normalt föreningens styrelses är  ansvarig. 
  • Personuppgiftsbiträde – Förkortas ”PuB”. Den som behandlar personuppgifter på uppdrag av personuppgiftsansvarig. Detta kan till exempel vara en fysisk eller juridisk person (företag, förening, stiftelse och så vidare). 
  • Personuppgiftsbiträdesavtal – Ett avtal som måste finnas mellan personuppgiftsansvarig och personuppgiftsbiträde. Avtalet reglerar i huvudsak hur personuppgiftsbiträdet får behandla uppgifterna.

 

GDPR och Personuppgiftslagen (PUL)

GDPR kan ses som en skärpning av PUL. Många delar från PUL återfinns i GDPR, men det finns en hel del viktiga skillnader. 

Den främsta skillnaden är att en organisation inte längre kan äga personuppgifter, utan endast låna dem. Medan PUL varit mer fokuserat på hur data ska hanteras och skötas först när organisationen fått dem i sin ägo, tar GDPR ett större grepp även kring hur och varför datan samlas in.

 

GDPR i din verksamhet

GDPR gäller alla som behandlar personuppgifter och innefattar även medlemshanteringen i din förening eller hanteringen av personuppgifter för din studiecirkel. En bra tumregel är att utgå från principen att har du en personuppgift så behandlar du den och då gäller GDPR. 

Du och din förening kan fråga era medlemmar om föreningen får behandla deras personuppgifter. Det kallas för att få personernas samtycke. Då är det viktigt att medlemmen får tydlig information om vilka uppgifter som samlas in och vad uppgifterna ska användas till.

Dataskyddsförordningen ställer särskilda krav på samtycket, bland annat att

  • samtycket är frivilligt och specifikt
  • den registrerade har fått information om personuppgiftsbehandlingen innan hen lämnar samtycket
  • den registrerade lämnar samtycket genom ett uttalande eller en tydlig bekräftande handling.

Det är också viktigt att bara ta in de personuppgifter som behövs för ändamålet och inte mer än nödvändigt.