Ordlista - GDPR

I Svenska Brukshundklubbens ordlista definierar vi en del av de begrepp som förekommer för att beskriva och förstå den nya dataskyddsförordningen (GDPR).

GDPR

Dataskyddsförordningen (även kallad GDPR - General Data ProtectionRegulation) börjar gälla den 25 maj 2018 och ersätter den tidigare Personuppgiftslagen (PuL).

Personuppgiftslagen (PuL)

Den svenska lagstiftning som GDPR ersätter 25 maj 2018.

Vite

Datainspektionen är tillsynsmyndighet för GDPR. Det är alltså den myndighet som ska se till att GDPR efterföljs. Företag, organisationer och myndigheter som inte uppfyller krav i GDPR riskerar ett stort vite på upptill 20 miljoner euro alternativt 4 procent av den globala årsomsättningen.

Vad är en personuppgift?

Varje uppgift som kan identifiera en fysisk nu levande person, direkt eller indirekt. Namn, personnummer, adress, e-postadress, fotografi är exempel på personuppgifter.

Barns personuppgifter

Ett barn som är 13 år eller äldre kan själv samtycka till personuppgiftsbehandling, utan vårdnadshavares samtycke. Om medlemmen är under 13 år ska vårdnadshavare lämna sitt samtycke i barnets ställe.

Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Reglerna kan få betydande konsekvenser om er organisation erbjuder denna typ av tjänster till barn. Barns skyddsvärda ställning ska också vägas in vid intresseavvägning.

Känsliga personuppgifter

  • ras/etniskt ursprung
  • religiösa uppfattningar
  • medlemskap i fackförbund
  • sexuell orientering
  • uppgifter om persons hälsa/sjukdom

Kvasiidentifierare

Något som kan hänföras till en enskild person utan att det är direkta personuppgifter. T ex kommun, kön och yrke – kan hänföra till ca 260 personer och därmed går en person att identifiera.

Behandling av personuppgifter

Hur vi använder personuppgifter i våra register. Medlemmen ska ha tillgång till information om hur uppgifterna används och gett sitt aktiva medgivande. Organisationen får inte behandla personuppgifter på något annat sätt än det som framgått av informationen till medlemmen. Exempel på när organisationen använder medlemmarnas personuppgifter kan vara vid:

  • Insamling
  • Registrering
  • Lagring
  • Bearbetning
  • Spridning
  • Samkörning
  • Radering

Personuppgiftsregister (personregister)

Ett register som innehåller personuppgifter. Register med kombination av minst två personuppgifter om samma person, som kan identifiera personen ifråga anses som ett personuppgiftsregister.

Personuppgiftsincident

Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter.

Rapporteringsskyldighet

När man upptäcker en personuppgiftsincident måste man dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri.

Lagring

Hur organisationen lagrar personuppgifter. Organisationen måste definiera var och varför personuppgifter lagras, så kallad laglig grund. Medlemmen ska dessutom vara underrättad om hur och varför dennes personuppgifter lagras. Varje register som upprättas ska motiveras till varför det sparas och hur länge det får existera. Exempel på var föreningar lagrar personuppgifter:

  • Deltagarlistor
  • Medlemslistor
  • Resultatlistor
  • Funktionärslistor
  • Prov- och tävlingssystem
  • Hemsida
  • Protokoll
  • E-post Molntjänster – Google drive, Onedrive; dropbox etc.

Medlemsvillkor

Den information som beskriver för medlemmen hur organisationen behandlar och lagrar personuppgifter. Medlemsvillkoren ska formuleras med ett tydligt och enkelt språk och ska vara lättillgängligt. Information om medlemsvillkoren ska medlemmen kunna ta del av innan denne beslutar att ingå avtal med organisationen eller lämna sitt samtycke.

Lagliga grund

All lagring av personuppgifter måste följa lagstiftning. Flera olika lagstiftningar reglerar rätt till lagring. Beroende på registrets syfte och karaktär kan den lagliga grunden variera.

Samtycke

En medlem ska frivilligt kunna samtycka till hur personuppgifterna behandlas efter att medlemmen har fått information om personuppgiftsbehandlingen. Samtycket ska, otvetydigt, genom en aktiv handling, lämnas av medlemmen för att organisationen ska få använda uppgifterna i specifika situationer. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.Ett samtycke ska närsomhelst kunna återkallas av medlemmen.

Avtal

Den överenskommelse som organisation och medlem ingår när medlemmen betalar sitt medlemskap. Behandling av personuppgifter i avtalet ska tydligt definieras i medlemsvillkoren och finnas lättillgängligt för medlemmen att ta del av. I avtalet ingår behandling av personuppgifter som är nödvändiga för att avtalet ska kunna efterföljas. Personuppgiftsbehandlingen i avtalet kan inte medlemmen avsäga sig utan att bryta avtalet.

Rättslig förpliktelse

Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse.Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

Berättigat intresse/intresseavvägning

Behandling av personuppgifter där organisationens intresse väger tyngre än den registrerades intresse av skydd för sina personuppgifter. Barn anses vara särskilt skyddsvärda. T ex när organisationen lämnar ut uppgifter till samarbetspartners i syfte att informera medlemmen om dess förmåner eller erbjudanden.

Om medlemmen invänder mot en pågående behandling måste organisationen göra en ny intresseavvägning och upphöra med behandlingen om inte det finns tillräcklig belägg. Om medlemmen invänder mot behandling som sker för direkt marknadsföring måste behandlingen upphöra.

Missbruksregel

Missbruksregeln innebar tidigare att man kunde använda enklare regler för personuppgifter i ostrukturerat material (på hemsidor, e-post, enkla dokument osv). I GDPR finns ingen sådan regel varför ostrukturerat material lyder under samma lagliga grunden som all annan behandling.

Personuppgiftsansvarig

Personuppgiftsansvarig är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till.Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.

Dataskyddsombud

Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.Ombudet ska vara direkt underställd ledning med uppgift att kontrollera att behandlingen utförs på ett korrekt sätt. Ombudet ska ha speciella villkor gällande uppsägning.

Enligt datainspektionen finns det idag inget krav på att ideella föreningar ska ha ett dataskyddsombud, men de rekommenderar att man ändå utser ett. Det går att ta in en extern resurs där t ex flera organisationer har samma ombud.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.Ett skriftligt avtal måste upprättas (biträdesavtal). Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.

Biträdesavtal

Ett avtal som upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet.I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

Privacy by design

Begrepp för att nya system har inbyggt systemstöd för GDPR.

Code of conduct

Uppförandekoder inom varje bransch som kommer sätta standarden för tillämpning av GDPR. Att ta del av utfall av domstolsbeslut kan vara ett sätt som kommer att sätta standarden.

Principer för dataskydd

All behandling ska vara laglig, korrekt och öppen. 

Ändamålsbegränsning

Ändamålen ska vara särskilda, uttryckligt angivna och berättigade ändamål. Varje register ska ha laglig grund, det ska vara specificerat och det ska vara berättigat att spara uppgifterna.

Uppgiftsminimering

Uppgifterna som behandlas och lagras ska vara adekvata, relevanta och inte för omfattande.Bara de uppgifter som behövs för att driva verksamheten får lagras och behandlas.

Lagringsminimering

Uppgifterna får inte sparas längre än nödvändigt.

Integritet och konfidentiellt

Uppgifterna ska vara skyddade och inte exponeras för obehöriga.

Ansvarsskyldighet

Ansvarar för att uppgifterna behandlas efter ovanstående principer.  

Frågor om GDPR

Har du frågor om GDPR, kontakta Sanna Ameln på förbundskansliet.