GDPR och församlingar

Den 25 maj blev den nya europeiska personuppgiftsförordningen, GDPR, lag i Sverige. Om man varit duktig och följt den nuvarande personuppgiftslagen PuL så har man det mesta på plats redan.

Här ska vi översiktligt gå igenom lagen.

Några uttryck:

  • GDPR – Den nya Dataskyddsförordningen. Trädde i kraft 25 maj 2018.

  • Behandling – Allt man gör med de personuppgifter man har. Också att lagra dem är en behandling. Det betyder att har man en lagrad personuppgift så behandlar man också den.

  • Personuppgift – All information som kan knytas till en nu levande person. Några exempel: Namn, adress, personnummer, fotografi, ip-adress, bilnummer.

  • Känslig personuppgift – Uppgift om hälsa, religiös eller filosofisk övertygelse, ras eller etniskt ursprung, medlemskap i fackförening, sexuell läggning, biometriska uppgifter (fingeravtryck, iris och liknande).

  • Personuppgiftsansvarig –  Den som bestämmer ändamål och medel för behandlingen.

  • Personuppgiftsbiträde – Den som behandlar personuppgifter på uppdrag av den som är Personuppgiftsansvarig.

  • Personuppgiftsbiträdesavtal – Måste finnas mellan Personuppgiftsansvarig och Personuppgiftsbiträde. Avtalet reglerar i huvudsak hur Personuppgiftsbiträde får behandla uppgifterna.

Viktigt att veta

För att förstå hur lagen är uppbyggd kan man se det så här:

Det är förbjudet att behandla personuppgifter, men om man följer reglerna som beskrivs i GDPR så får man göra ett undantag.

När man samlar in personuppgifter så måste man först informera så att den som lämnar uppgifterna får en klar bild av vem man är, vad uppgifterna ska användas till med mera. Några exempel:

Till vad?
Exempel: Vi behöver uppgifterna till vårt medlemsregister så att vi kan kontakta dig kring föreningens verksamhet.
Vi använder också uppgifterna för att rapportera till riksförbundet.

Hur länge?
Exempel: Vi spar uppgifterna så länge du är medlem och därefter så länge vi är rapporteringsskyldiga för t ex stöd.

Delning?
Exempel: Vi kan komma att dela dina uppgifter med riksförbund, försäkringsbolag och anslagsgivande myndigheter.

Några viktiga nyheter i GDPR

Att dokumentera sitt arbete med att följa GDPR blir oerhört viktigt. Som Personuppgiftsansvarig har man bevisbördan för att lagen följs. Kan man inte visa det med dokumentation av sina rutiner, system och riskbedömningar så är det i sig ett lagbrott.

Uppföljningar ska göras regelbundet och det ska visas i dokumentationen. Man kan alltså inte ”bli färdig” med sitt GDPR-arbete utan man måste ha koll på att skyddet upprätthålls hela tiden.

Alla sorters organisationer berörs

Oavsett organisationens syfte, storlek eller form så berörs alla av lagen. GDPR gäller alla som behandlar personuppgifter.

Här kommer några vanliga exempel på personuppgifter som man vanligtvis behandlar i en församling:

Medlemsregister

  • Namn: För att driva en församling behöver man ju veta vilka som är medlemmar.

  • Adress: Post eller e-post. Medlemmar förväntar sig vanligtvis kontakt och dessutom vill församlingen kanske avisera en medlemsavgift.

  • Personnummer: Man får inte behandla personnummer om man inte behöver. Det kan behövas om församlingen får någon form av stöd som baseras på antalet medlemmar eller i vissa kontakter med riksorganisationer.

Om man registrerar barn så behövs vårdnadshavarens samtycke.

Vem är personuppgiftsansvarig?

Det är föreningen som är personuppgiftsansvarig. Det är styrelsen som ansvarar för att föreningen följer lagen. Det är alltså aldrig en person som är formellt ansvarig, även om föreningen utsett någon att till exempel sköta medlemsregistret.

Styrelsens viktigaste uppgift

GDPR reglerar att vi som individer äger våra egna personuppgifter. Som utomstående får vi bara låna uppgifter om andra om vi lovar att skydda dem mot insyn och förvara dem säkert. Det är ett förhållningssätt vi måste ha hela tiden om vi ska kunna sköta den uppgiften.

Kyrktorget finns för att hjälpa dig

Tycker du att allt verker krångligt? Ta det lugnt. Vi på Kyrktorget har tagit fram en tjänst som hjälper församlingarna med det här. Genom att utse Kyrktorget som ert ”Personuppgiftsbiträde” så löser vi mycket av jobbet åt er.

Detta är en ny tjänst som ingår för alla er som redan har ett abonnemang på Kyrktorget. Klicka på länken för att få reda på hur tjänsten fungerar. https://kyrktorget.se/page/gdpr