Föreningars behandling av personuppgifter
Behandlar ni personuppgifter i er förening, till exempel uppgifter om era medlemmar i ett medlemsregister? Då måste ni följa dataskyddsförordningen (GDPR). Dataskyddsförordningen stärker rättigheterna för era medlemmar när det gäller deras personliga integritet.
När gäller dataskyddsförordningen?
Dataskyddsförordningen gäller för helt eller delvis automatiserad (elektronisk) behandling av personuppgifter. Ett exempel på delvis automatiserad behandling är när personuppgifter samlas in manuellt i syfte att senare föras in i ett automatiserat register. Dataskyddsförordningen gäller också för manuell behandling (pappersform) av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register. Vid bedömningen av om det är ett sådant register har det betydelse om informationen är strukturerad så att det enkelt går att hitta information om en enskild person för senare användning.
Det betyder att om ni har ett register över till exempel era medlemmars uppgifter där det exempelvis framgår vad de heter och var de bor så behandlar ni deras personuppgifter och behöver därför följa dataskyddsförordningen.
Vad är personuppgifter?
Personuppgifter är varje upplysning om en identifierbar person. Avgörande är att uppgiften enskilt eller i kombination med andra uppgifter kan knytas till en levande person. Exempel på personuppgifter är:
- namn
- adress och e-postadress
- telefonnummer
- personnummer
- foton.
Vad är behandling av personuppgifter?
Behandling av personuppgifter är allt man kan göra med personuppgifter. Ni behandlar personuppgifter om ni till exempel
- samlar in personuppgifter från medlemmar
- registrerar medlemmar på något sätt
- lagrar personuppgifter någonstans, till exempel i en molntjänst
- lämnar ut uppgifter om en medlem till andra.
Kunskapsfilmer om GDPR
Känsliga personuppgifter
Vissa personuppgifter anses extra känsliga och har därför ett starkare skydd i dataskyddsförordningen. Huvudregeln är att det är förbjudet att behandla sådana personuppgifter, men det finns undantag. Ett exempel på undantag är om medlemmen har lämnat sitt uttryckliga samtycke.
Med känsliga personuppgifter menas uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Känsliga personuppgifter är också uppgifter om en persons hälsa, sexualliv eller sexuella läggning, samt genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en person.
Medlemsundantaget
I en del organisationer, till exempel politiska partier eller trossamfund, kan själva medlemskapet avslöja en känslig personuppgift, som vilken politisk åsikt eller religiös övertygelse som medlemmen har.
Är ni en förening som har ett politiskt, filosofiskt, religiöst eller fackligt syfte? I så fall finns det ett särskilt undantag från förbudet att behandla känsliga personuppgifter. Undantaget gäller om behandlingen utförs inom ramen för berättigade verksamhet med lämpliga skyddsåtgärder hos er.
Undantaget förutsätter också att behandlingen enbart rör era medlemmar, tidigare medlemmar eller andra personer som på grund av er förenings ändamål har regelbunden kontakt med er. Personuppgifterna får med stöd av detta undantag inte lämnas ut utan den registrerades samtycke, exempelvis till en annan medlem.
Brottsuppgifter
Huvudregeln är att bara myndigheter får behandla personuppgifter om lagöverträdelser. För att en förening ska få behandla sådana personuppgifter, krävs normalt att det finns stöd antingen i föreskrifter eller ett särskilt tillstånd från IMY.
Personuppgifter som rör lagöverträdelser
Personnummer
Ni får bara behandla uppgifter om personnummer när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl.
I de fall som det är tillåtet att behandla uppgifter om personnummer, är det viktigt att komma ihåg att all användning ska vara klart motiverad. Personnumret ska exempelvis inte exponeras i onödan.
Vem ansvarar för att följa GDPR – vem är personuppgiftsansvarig?
Personuppgiftsansvarig är den organisation som bestämmer för vilka ändamål som personuppgifterna ska behandlas och hur behandlingen ska gå till. Det kan exempelvis vara en ekonomisk förening eller en ideell förening.
Ibland kan flera organisationer vara inblandade i behandlingen av samma personuppgifter, som en riksorganisation, ett regionalt förbund och en lokal förening. De kan då antingen bli ansvariga för olika delar av personuppgiftsbehandlingen eller gemensamt ansvariga för den som helhet, beroende vem som bestämmer över behandlingen.
Det är viktigt att ni redan från början har klart för er vilken eller vilka organisationer som är personuppgiftsansvariga och därmed ansvarar för att följa dataskyddsreglerna. Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig.
Personuppgiftsansvariga och personuppgiftsbiträden
Rättslig grund för att behandla personuppgifter
För att få behandla personuppgifter måste ni alltid ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. Exempel på rättsliga grunder som föreningar kan stödja sin personuppgiftsbehandling på är avtal, rättslig förpliktelse, samtycke eller en så kallad intresseavvägning.
Avtal
En förening behandlar vanligtvis uppgifter om medlemmar för att kunna uppfylla avtalet om medlemskap med medlemmarna. Det är viktigt att se till att då bara behandla sådana personuppgifter som är nödvändiga för att uppfylla avtalet, till exempel uppgifter som behövs för att administrera medlemskapet.
Ni måste alltså titta närmare på det avtal som ni har ingått med medlemmen, för att bedöma om de ändamål som personuppgifterna behandlas för är nödvändiga för att uppfylla avtalet. Om ni går utanför det som är nödvändigt behöver ni ha en annan rättslig grund för den personuppgiftsbehandlingen.
Annan rättslig grund än avtal
ExempelRäcker det att ni behandlar uppgifter om namn, telefonnummer, förtroendeposter och deltagande i föreningens aktiviteter för att ni ska uppfylla medlemsavtalet med era medlemmar?
Ni kan behöva någon annan rättslig grund än avtal om ni till exempel vill kunna publicera foton på era medlemmar på föreningens webbplats, eller lämna ut medlemsregistret till någon utanför föreningen.
Rättslig förpliktelse
Om behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som följer av lag eller annan författning kan föreningen stödja sig på den rättsliga grunden rättslig förpliktelse. Av lagen om ekonomiska föreningar följer en skyldighet att föra en medlemsförteckning med visst innehåll.
Samtycke
Ett giltigt samtycke innebär varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, där den registrerade, antingen genom ett uttalande eller en entydigt bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Det innebär att ni kan fråga era medlemmar om ni får behandla deras personuppgifter för ett visst ändamål. För att kunna samtycka till en viss behandling är det viktigt att medlemmen, innan samtycket lämnas, får tydlig information om vilka uppgifter det gäller och vad de ska användas till.
Ni ska kunna visa att medlemmen har lämnat ett giltigt samtycke. En medlem ska alltså utan problem kunna ta tillbaka sitt samtycke. Vid en återkallelse ska ni stoppa behandlingen. Det innebär att behandlingen ska avbrytas och att ytterligare personuppgifter inte får behandlas. Ni behöver radera uppgifterna om det inte finns någon annan rättslig grund för att ha kvar de tidigare insamlade uppgifterna.
Att acceptera avtalsvillkor är inte samma sak som att lämna sitt samtycke till behandling av personuppgifter. Att i medlemsvillkoren räkna upp ett antal behandlingar av personuppgifter som inte är nödvändiga för att fullgöra avtalet, innebär inte att medlemmen har samtyckt till de behandlingarna. Medlemmen ska aktivt ha samtyckt till varje sådan behandling. För att bedöma om det är ett frivilligt samtycke, ska man dessutom ta hänsyn till om genomförandet av ett avtal/tillhandahållandet av en tjänst har gjorts beroende av samtycke till behandling av personuppgifter som inte är nödvändig för genomförande av det avtalet.
Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen, eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter.
Läs mer om behandling av personuppgifter om barn
Intresseavvägning
Det är också möjligt att behandla personuppgifter efter en intresseavvägning. Det krävs då att personuppgiftsbehandlingen är nödvändig för berättigade intressen, och att medlemmens intresse av skydd för sina personuppgifter inte väger tyngre.
Om en medlem invänder mot en personuppgiftsbehandling som stödjer sig på en intresseavvägning, får ni inte fortsätta behandlingen om ni inte kan visa antingen att det finns avgörande berättigade skäl för behandlingen som väger tyngre, eller att behandlingen sker för att fastställa, utöva eller försvara rättsliga anspråk. Om en medlem invänder mot att ni använder personuppgifterna för direkt marknadsföring måste ni alltid sluta behandla personuppgifterna för sådana ändamål.