I Svenska Brukshundklubbens ordlista definierar vi en del av de begrepp som förekommer för att beskriva och förstå dataskyddsförordningen (GDPR).
GDPR
Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) började gälla den 25 maj 2018 och ersatte den tidigare Personuppgiftslagen (PuL).
Vite
Integritetsskyddsmyndgiheten är tillsynsmyndighet för GDPR. Det är den myndighet som ser till att GDPR efterföljs. Företag, organisationer och myndigheter som inte uppfyller krav i GDPR riskerar ett stort vite på upptill 20 miljoner euro alternativt 4 procent av den globala årsomsättningen.
Vad är en personuppgift?
Varje uppgift som kan identifiera en fysisk nu levande person, direkt eller indirekt. Namn, personnummer, adress, e-postadress, fotografi är exempel på personuppgifter.
Barns personuppgifter
Ett barn som är 13 år eller äldre kan själv samtycka till personuppgiftsbehandling utan vårdnadshavares samtycke. Om medlemmen är under 13 år ska vårdnadshavare lämna samtycke i barnets ställe.
Dataskyddsförordningen innebär ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Reglerna kan få betydande konsekvenser om er organisation erbjuder denna typ av tjänster till barn. Barns skyddsvärda ställning ska också vägas in vid intresseavvägning.
Känsliga personuppgifter
- etniskt ursprung
- religiösa uppfattningar
- medlemskap i fackförbund
- sexuell orientering
- uppgifter om persons hälsa/sjukdom
Kvasiidentifierare
Något som kan hänföras till en enskild person utan att det är direkta personuppgifter. T ex kommun, kön och yrke – kan hänföra till ca 260 personer och därmed går en person att identifiera.
Behandling av personuppgifter
Hur vi använder personuppgifter i våra register. Medlemmen ska ha tillgång till information om hur uppgifterna används och gett sitt aktiva medgivande. Organisationen får inte behandla personuppgifter på något annat sätt än det som framgått av informationen till medlemmen. Exempel på när organisationen använder medlemmarnas personuppgifter kan vara vid:
- Insamling
- Registrering
- Lagring
- Bearbetning
- Spridning
- Samkörning
- Radering
Personuppgiftsregister (personregister)
Ett register som innehåller personuppgifter. Register med kombination av minst två personuppgifter om samma person, som kan identifiera personen ifråga anses som ett personuppgiftsregister.
Personuppgiftsincident
Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter.
Rapporteringsskyldighet
När en personuppgiftsincident upptäcks måste incidenten dokumenteras och anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Det kan också vara nödvändigt att informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri.
Lagring
Hur organisationen lagrar personuppgifter. Organisationen måste definiera var och varför personuppgifter lagras, så kallad laglig grund. Medlemmen ska dessutom vara underrättad om hur och varför dennes personuppgifter lagras. Varje register som upprättas ska motiveras varför det sparas och hur länge det får existera. Exempel på var föreningar lagrar personuppgifter:
- Deltagarlistor
- Medlemslistor
- Resultatlistor
- Funktionärslistor
- Prov- och tävlingssystem
- Hemsida
- Protokoll
- E-post, molntjänster – Google drive, Onedrive, dropbox etc.
Medlemsvillkor
Den information som beskriver för medlemmen hur organisationen behandlar och lagrar personuppgifter. Medlemsvillkoren ska formuleras med ett tydligt och enkelt språk och ska vara lättillgängligt. Medlemmen ska kunna ta del av information om medlemsvillkoren innan denne beslutar att ingå avtal med organisationen eller lämna sitt samtycke.
Laglig grund
All lagring av personuppgifter måste följa lagstiftning. Flera olika lagstiftningar reglerar rätt till lagring. Beroende på registrets syfte och karaktär kan den lagliga grunden variera.
Samtycke
En medlem ska frivilligt kunna samtycka till hur personuppgifterna behandlas efter att medlemmen har fått information om personuppgiftsbehandlingen. Samtycket ska, otvetydigt, genom en aktiv handling, lämnas av medlemmen för att organisationen ska få använda uppgifterna i specifika situationer. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade. Ett samtycke ska när som helst kunna återkallas av medlemmen.
Avtal
Den överenskommelse som organisation och medlem ingår när medlemmen betalar sitt medlemskap. Behandling av personuppgifter i avtalet ska tydligt definieras i medlemsvillkoren och finnas lättillgängligt för medlemmen att ta del av. I avtalet ingår behandling av personuppgifter som är nödvändiga för att avtalet ska kunna efterföljas. Personuppgiftsbehandlingen i avtalet kan inte medlemmen avsäga sig utan att bryta avtalet.
Rättslig förpliktelse
Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.
Berättigat intresse/intresseavvägning
Behandling av personuppgifter där organisationens intresse väger tyngre än den registrerades intresse av skydd för sina personuppgifter. Barn anses vara särskilt skyddsvärda. T ex när organisationen lämnar ut uppgifter till samarbetspartners i syfte att informera medlemmen om dess förmåner eller erbjudanden.
Om medlemmen invänder mot en pågående behandling måste organisationen göra en ny intresseavvägning och upphöra med behandlingen om det inte finns tillräcklig belägg. Invänder medlemmen mot personuppgiftsbehandling som sker för direkt marknadsföring måste behandlingen upphöra.
Missbruksregel
Missbruksregeln innebar tidigare att enklare regler kunde användas för personuppgifter i ostrukturerat material (på hemsidor, e-post, enkla dokument osv). I GDPR finns ingen sådan regel varför ostrukturerat material lyder under samma lagliga grund som all annan behandling.
Personuppgiftsansvarig
Personuppgiftsansvarig är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.
Dataskyddsombud
Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Ombudet ska vara direkt underställd ledning med uppgift att kontrollera att behandlingen utförs på ett korrekt sätt. Ombudet ska ha speciella villkor gällande uppsägning.
Enligt integritetsskyddsmyndigheten finns inget krav på att ideella föreningar ska ha ett dataskyddsombud, men det rekommenderas att ombud ändå utses. Det går att ta in en extern resurs där t ex flera organisationer har samma ombud.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Ett skriftligt avtal måste upprättas (biträdesavtal). Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.
Biträdesavtal
Ett avtal som upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.
Privacy by design
Begrepp för att nya system har inbyggt systemstöd för GDPR.
Code of conduct
Uppförandekoder inom varje bransch som sätter standarden för tillämpning av GDPR. Att ta del av utfall av domstolsbeslut kan vara ett sätt som kommer att sätta standarden.
Principer för dataskydd
All behandling ska vara laglig, korrekt och öppen.
Ändamålsbegränsning
Ändamålen ska vara särskilda, uttryckligt angivna och berättigade. Varje register ska ha laglig grund, det ska vara specificerat och det ska vara berättigat att spara uppgifterna.
Uppgiftsminimering
Uppgifterna som behandlas och lagras ska vara adekvata, relevanta och inte för omfattande. Bara de uppgifter som behövs för att driva verksamheten får lagras och behandlas.
Lagringsminimering
Uppgifterna får inte sparas längre än nödvändigt.
Integritet och konfidentiellt
Uppgifterna ska vara skyddade och inte exponeras för obehöriga.
Ansvarsskyldighet
Ansvarar för att uppgifterna behandlas efter ovanstående principer.
Frågor om GDPR
Har du frågor om GDPR, kontakta oss via mejl: