ABC i dataskydd
Introduktion i dataskydd för Journalistförbundets medlemsföreningar
Är du aktiv i en av Journalistförbundets medlemsföreningar? Har ni tagit i beaktande den nya dataskyddsförordningen? Nedan har vi samlat lite grundläggande information för dem som sitter i föreningarnas styrelser. Samma info har skickats till alla föreningar under våren. Denna text är skriven 12 maj 2018:
1. Allmänt: Vad är dataskydd?
- Skydd av privatliv vid behandling av personuppgifter samt vars och ens rätt till sina personuppgifter.
- Skydd av enskilda medborgare i behandling av personuppgifter är en grundläggande rättighet.
- Dataskyddsförordningen (GDPR) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018.
- Den som bryter mot förordningen kan åläggas att betala upp till 20 miljoner euro i böter.
Dataskyddsförordningen gäller organisationer
Förordningen gäller företag, offentliga organisationer och föreningar. Enbart följande situation är utanför förordningen: när en enskild person behandlar sina personuppgifter privat eller i ärenden som berör det egna hushållet
Förordningen tillämpas i sådan behandling av personuppgifter vilken är helt eller delvis automatiserad och när personuppgifter behandlas på andra sätt så att uppgifter skapar eller har för avsikt att skapa ett register.
Vad är en personuppgift?
Personuppgifter är all information som direkt eller indirekt kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.
Det bör alltid finnas en laglig grund för att hantera personuppgifter.
Hantering av personuppgifter är all verksamhet som berör behandling av personuppgifter. Det kan handla om att samla in, spara, organisera, arkivera, redigera, radera, förstöra och om att begränsa personuppgifter.
Personuppgiftsansvariga och personuppgiftsbiträde
Finlands Journalistförbund är förbundets medlemsregisters personuppgiftsansvariga och medlemsföreningarna är personuppgiftsbiträden.
Ett personuppgiftsbiträde som agerar mot förbundets anvisningar är ensam ansvarig för sina handlingar!
Förbundet gör avtal med dem som använder medlemsregistret.
Föreningens ansvarsperson ska med andra ord underteckna ett avtal om hantering av uppgifter. Journalistförbundet har skickat denna blankett till föreningarna. Ifall ni har frågor kan ni vara i kontakt med förbundets ombud Hannu Hallamaa som ansvarar för dataskyddsfrågor.
Medlemsföreningarna och dataskyddet
Alla medlemmar i föreningarna har rätt att bekanta sig med föreningens medlemsförteckning.
I medlemsförteckningen finns ändå även andra uppgifter än dem som alla har rätt att bekanta sig med. Det kan gälla uppgifter som enbart föreningen använder för särskilda ändamål. Därför bör man vara noga med att hålla de uppgifter som alla får se och de som enbart föreningen får se separat.
2. Dataskydd i praktiken
- Förordningen gäller bland annat adressregister (postlistor), bokningslistor för semesterstugor, deltagarlistor för resor och mötesdokument.
- För dessa uppgifter, vilka är en del av medlemsföreningarnas register, är medlemsföreningen personuppgiftsansvarig och ansvarar för att hanteringen är laglig!
- Medlemsföreningens styrelse bör kunna visa att dataskyddsfrågor beaktats i verksamheten.
- Gå igenom dessa frågor på styrelsemötet. Har ni beaktat dataskyddsfrågor – till exempel när det gäller att samla in personuppgifter för evenemang eller när ni raderar uppgifter?
- Samla ej uppgifter i onödan
Bestäm i förväg vad personuppgifterna ska användas till och använd inte uppgifterna för något annat syfte.
Samla inte in fler personuppgifter än vad som behövs. Samla aldrig in personuppgifter ”därför att det kan vara bra att ha”.
Till exempel kan det vara nödvändigt att fråga deltagare i en utbildning om deras allergier. Den personuppgiftsansvariga bör bedöma om det är nödvändigt att spara sådan här känslig information om en persons hälsotillstånd eller kan det vara skäl att radera uppgifter efter utbildningen?
Personuppgiftslistor som plockats ur Journalistförbundets medlemsregister, till exempel till e-post eller en excel är personuppgiftsregister, vilka bör behandlas konfidentiellt.
Enbart de ansvarspersoner vars uppgift så kräver får hantera personuppgifterna. När ni ordnar evenemang ska ni utse en person (eller flera personer) som är ansvariga för evenemanget och som får se deltagarnas känsliga information. Övriga personer får ej se informationen. De här personerna (de ansvariga som ni valt) bör skriva under ett avtal om hanteringen med Journalistförbundet.
Nyttiga länkar:
Bekanta dig med Dataombudsmannens byrå: http://tietosuoja.fi/sv/index.html
Svenska datainspektionen har också bra beskrivningar om dataskyddsreformen:
https://www.datainspektionen.se/fragor-och-svar/eus-dataskyddsreform/
Den svenska versionen av förordningen hittar du här:
http://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32016R0679
Fler praktiska tips: Förstör känsliga uppgifter
Fundera på förhand vad ni gör med personuppgifter efteråt. Ifall det inte är motiverat att spara uppgifterna ska de förstöras. Det som bör sparas är till exempel betalningsinformation om dem som deltagit i avgiftsbelagda kurser eller utflykter.
Känsliga uppgifter som till exempel hälsouppgifter eller info om allergier ska förstöras när de inte längre behövs.
Ifall ni har regelbundet återkommande evenemang för samma grupp människor är det motiverat att spara uppgifterna fram till det sista evenemanget. Människorna bör få information om att hens (känsliga) uppgifter finns sparade i medlemsföreningen.
Varje medlem i medlemsföreningen får be om att se vilka uppgifter som finns registrerade om hen. Hen får också be om att de egna uppgifterna ska raderas.
Fundera i styrelsen var föreningens sparar personuppgifter, som medlemsregisteruppgifter och anmälningslistor till evenemang.
Sparas uppgifterna i föreningens sekreterares garage? Är de säkert förvarade?
Alla uppgifter som gör att en person kan kännas igen ska kunna visas upp (för den berörda personen) vid behov och även raderas om en person ber om det.
Uppgifter om medlemmar som skrivit ut sig eller lämnat föreningen får ej sparas (gäller ej betalningsinformation).
En medlems personuppgifter får ej överlåtas utan personens medgivande. Det är med andra ord förbjudet att ge uppgifterna för marknadsföring åt samarbetspartners, ifall man inte särskilt frågat om lov för det.
Att publicera medlemsuppgifter i en medlemstidning eller årsberättelse kräver tillstånd av personen eftersom det gäller medlemsinformation i ett fackförbund.
Årsberättelsen
I föreningens årsberättelse får medlemsuppgifter (namn) endast publiceras med medlemmens tillstånd eftersom det handlar om en känslig personuppgift (medlemskap i fackförening).
Tillståndet ska vara skriftligt!
Lägg till denna punkt om att publicera namnuppgifter i föreningens stadgar.
Samma princip om att publicera namn gäller medlemstidningar och föreningens webbplats.
När man utlokaliserar en del av verksamheten – till exempel postning
Ifall föreningen utlokaliserat till exempel faktureringen av medlemsavgifter så är det motiverat att överlåta hanteringen av medlemsuppgifter till en samarbetspartner.
Medlemmarna har rätt att få information om att uppgifterna hanteras av en samarbetspartner i ovannämnda exempel eller liknande.
I detta fall bör parterna skriva under ett skriftligt avtal.
Journalistförbundet kan stå till tjänst med ett underlag för ett avtal endast då den som säljer tjänster inte tillhandahåller ett avtal.
Skicka vid vehov avtalen till Journalistförbundet för granskning på förhand! Avtalet skickas i så fall till ombud Hannu Hallamaa som ansvarar för dataskyddsfrågor.
Styrelsen fattar beslut om hantering av medlemsuppgifter
När personuppgifter överlåts till en samarbetspartner bör man redogöra för hur denna får använda uppgifterna.
Samarbetspartners får endast använda personuppgifterna för de ändamål föreningen redogjort: till exempel för att posta medlemstidningen.
En medlem kan förbjuda föreningen att överlåta en viss sorts uppgifter. Det innebär i så fall att medlemmen inte får den tjänsten.
3. Lagparagrafer – förvaringstider och grunder för hantering
Föreningslagen 11§: Styrelsen skall föra en förteckning över föreningens medlemmar. I förteckningen skall införas varje medlems fullständiga namn och hemort.
Föreningslagen 31§: Mötesordföranden skall se till att ett protokoll sätts upp över mötets beslut. (…) Föreningens medlemmar har rätt att på begäran få del av de protokoll som nämns i 1 och 2 mom.
Protokollen ska med andra ord sparas tillsvidare!
Bokföring och betalningsuppgifter
Bokföringslagen 2.kap 10 §: Bokslut, verksamhetsberättelser, bokföringar, kontoplaner samt förteckningar över bokföringar och material ska bevaras i minst tio år efter räkenskapsperiodens utgång.
Om längre bevaringstid inte föreskrivs någon annanstans i lag ska räkenskapsperiodens verifikationer, korrespondens om affärshändelser och annat bokföringsmaterial än sådant som nämns i 1 mom. bevaras minst sex år från utgången av det år då räkenskapsperioden har upphör
Information om hantering av personuppgifter bör finnas tillhanda för dem som är registrerade (informationsskyldighet).
Hantering av personuppgifter bör vara transparent och de registrerade bör få information om hur information om dem salas in och hanteras. Informationen ska ges komprimerat och på ett tydligt språk.
Skapa en egen dataskyddsbeskrivning om föreningens egna register!
Glöm ej datasäkerheten! Dataskydd och datasäkerhet går hand i hand.
Använd medlemsregister endast på säkra datamaskiner. Att använda till exempel bibliotekens datorer rekommenderas ej. Att hantera medlemsuppgifter på datorer som drabbats av virus är förbjudet.
Om det är möjligt – behandla medlemsuppgifterna endast i sådana utrymmen dit utomstående ej har tillträde.
Ifall det rör sig utomstående i rummet där du behandlar medlemsregistret – lås datorn när du lämnar den.
Skriv inte ut papper som innehåller personuppgifter i onödan och förstör pappren när de inte längre behövs.