GDPR datalagstiftningen som ersätter PUL

FAQ

Här listar vi svar på de vanligaste frågorna kring dataskyddsförordningen GDPR och hur BKH förhåller sig till denna.

Vad är GDPR?

GDPR, (eller General Data Protection Regulation) är den nya dataskyddsförordningen som gäller inom EU. Från och med 25 maj 2018 ersätter den vår tidigare nationella datalagstiftning PUL.

Syftet med GDPR är att stärka skyddet för (levande) fysiska personer avseende behandling av deras personuppgifter.

Vad är en personuppgift?

GDPR definierar en personuppgift som ”Varje upplysning som avser en identifierad eller identifierbar fysisk person.” Det betyder att en upplysning räknas som personuppgift om du kan använda den för att identifiera en fysisk person (ej juridisk person), antingen separat, eller tillsammans med någon annan uppgift som du eller någon annan har om personen.

Exempel på personuppgifter är t.ex. personnummer, namn (om det är unikt nog för att identifiera en person), en adress, en bild.

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är styrelsen för BKH

I den mån BKH behandlar personuppgifter i medlemsregister eller från andra källor, måste BKH se till att uppfylla kraven för databehandling under GDPR.

Hur påverkar GDPR BKH som förening?

Den största påverkan jämfört med nuvarande lagstiftning är att vi som förening måste definiera tydligare hur och varför vi hanterar personuppgifter. Det här gäller både medlemmar och icke medlemmar. Vi får inte hantera (samla in, lagra, eller publicera) uppgifter som inte behövs för verksamheten,

Hur behandlas personuppgifter i BKH?

För att behandla personuppgifter krävs en rättslig grund för detta. I GDPR finns fyra alternativ för rättslig grund till hantering av personuppgifter. I viss mån kan detta variera beroende på vilken typ av behandling det rör sig om. I det dagliga arbetet hanteras BKH´s databehandling enligt ”avtal” eller ”berättigat intresse” som rättslig grund. Betalning av medlemsavgiften räknas som en handling för att bekräfta medlemskapet som avtal.

Personuppgifter i BKH behandlas huvudsakligen i medlems- och anmälningsregister, för att kunna fullgöra det avtal som medlemskapet utgör. Det är viktigt att komma ihåg att endast sådana uppgifter som behövs för att fullgöra avtalet får behandlas.

Vilken skillnad är det mot tidigare PUL?

När det gäller ”Samtycke” som rättslig grund för databehandling, ställer GDPR högre krav på hur det är utformat.

Under PUL fanns det ett undantag för uppgifter i så kallade ostrukturerad form. Exempelvis personuppgifter i löptext, bilder osv. Detta undantag, som kallades för ”missbruksregeln” har tagits bort och även material i ostrukturerad form omfattas av GDPR.

Datainspektionen (som kommer att byta namn till Integritetsskyddsmyndigheten) kan utdöma sanktioner i form av högre viten än tidigare under PUL.

Kommer medlemsmatrikeln vara GDPR-säkert?

BKH har en rättslig grund för att lagra personuppgifterna. Detta finns med som informationstext i matrikeln.

Det är viktigt att inte använda matrikeln ”kreativt” — vi har bara tillåtelse att registrera den typ av information som är definierad i profilen (Båtplats, telefonnummer, epost, gatuadress, etc).

Kan jag som är styrelsemedlem ha en utskriven medlemslista i min pärm?

Ja, men det är då ditt ansvar att se till att listan hanteras på rätt sätt.  En utskriven lista omfattas av GDPR. Listan ska då endast innehålla uppgifter som är nödvändiga för att genomföra verksamheten och inte mer. Tänk på att ni har en skyldighet att inte hantera mer uppgifter än vad som är nödvändigt.

Du får inte ge någon annan tillgång till listan och du måste hålla koll på den så att ingen obehörig får tillgång till listan. När du inte längre har behov av medlemslistan måste du se till att den tas om hand på lämpligt sätt, för att den inte ska kunna hamna i orätta händer.

Hur ska BKH göra med anmälningar till föreläsningar och andra arrangemang?

Målet är att BKH ska ha en bra funktionalitet för att stödja administrationen kring olika arrangemang på ett bra sätt som uppfyller kraven kring GDPR. I den utveckling för anmälningar till arrangemang hos BKH, kommer det att finnas stöd för automatisk radering ske en bestämd tid efter avslutat arrangemang.

Fram tills den här funktionaliteten finns på plats hos BKH, rekommenderar vi att ni inhämtar samtycke från deltagarna i samband med att de anmäler sig till våra arrangemang. Skapa rutiner för hur vi hanterar personuppgifterna, samt hur dessa raderas efter avslutat arrangemang.

Om en styrelsemedlem får ett mail av en båtägare, som meddelar sina personuppgifter, omfattas det då av GDPR och hur ska det hanteras?

Ja. Alla personuppgifter omfattas av GDPR och behöver hanteras därefter. I och med GDPR omfattas även personuppgifter i e-post, vilket ingår i vad som brukar kallas ”ostrukturerad data”. Detta innebär i praktiken att då båtägarens uppgifter skrivits in i t.ex. matrikeln, finns det inte längre någon anledning att spara e-postmeddelandet, utan det raderas från vår mailbox

BKH har en webbsida där föreningens styrelse och bevakningsansvariga/bryggombud samt övriga kontaktpersoner finns med. Hur ska det hanteras?

Våra aktiva i hamnföreningen samtycker om de uppgifter som ska publiceras. Det är viktigt att tänka på att ett sådant samtycke när som helst kan återkallas (personen kan ångra sig och hens uppgifter ska då avpubliceras, en person får vara aktiv i hamnföreningen även utan att publiceras på BKH´s hemsida).

I BKH´s bokföringssystem finns det namn och kontonummer till aktiva i BKH, eftersom de skickar in sina utläggsredovisningar. Omfattas det av GDPR?

Ja, dessa omfattas av GDPR. Däremot är det så att svensk lagstiftning går före GDPR i de fall de är motstridiga. I det här fallet gäller bokföringslagen, som kräver att vi sparar finansiell information i sju år. Detta innebär också att en medlem inte kan hävda ”rätten att bli totalt radetad ur alla register BKH har” under den tiden.

Vår förening använder ett system eget medlemssystem. Vad gäller här?

BKH använder ett medlemssystem och ansvarar för att GDPR följs. Det innebär t.ex. att BKH måste se till att det finns en rättslig grund för behandlingen av personuppgifter i det systemet och att vi har rutiner för rensning av inaktuella uppgifter.

Ska BKH göra något särskilt inför GDPR?

  1. BKH genomför en nulägesanalys, hur ser våra processer ut, vilka personuppgifter behandlar vi, i vilka system och register behandlar vi dessa personuppgifter och på vilken laglig grund.
  2. BKH genomför en riskbedömning, vilken behandling av personuppgifter har störst risk att leda till skador eller kränkningar för individen.
  3. BKH har en tydlig kravbild för hur vi får behandla personuppgifter genom t ex integritetspolicy, instruktioner och rutinbeskrivningar.
  4. BKH har informerat kring GDPR och aktiva inom föreningen ska ha kännedom om hur föreningen hanterar känslig information. Styrelsen har särskild kännedom och ansvarar för att registren uppfyller kraven för GDPR.
  5. BKH kommer att ta fram exempel på samtyckestexter för t.ex. anmälan till föreläsningar och arrangemang.