Ordlista GDPR

26 mar 202226 mar 2022

Svenska BrukshundklubbenSvenska Brukshundklubben

I Svenska Brukshundklubbens ordlista definierar vi en del av de begrepp som förekommer för att beskriva och förstå dataskyddsförordningen (GDPR).

GDPR 

Dataskyddsförordningen (även kallad GDPR - General Data Protection Regulation) började gälla den 25 maj 2018 och ersatte den tidigare Personuppgiftslagen (PuL).

Vite

Integritetsskyddsmyndgiheten är tillsynsmyndighet för GDPR. Det är den myndighet som ser till att GDPR efterföljs. Företag, organisationer och myndigheter som inte uppfyller krav i GDPR riskerar ett stort vite på upptill 20 miljoner euro alternativt 4 procent av den globala årsomsättningen.

Vad är en personuppgift?

Varje uppgift som kan identifiera en fysisk nu levande person, direkt eller indirekt. Namn, personnummer, adress, e-postadress, fotografi är exempel på personuppgifter.

Barns personuppgifter

Ett barn som är 13 år eller äldre kan själv samtycka till personuppgiftsbehandling utan vårdnadshavares samtycke. Om medlemmen är under 13 år ska vårdnadshavare lämna samtycke i barnets ställe.

Dataskyddsförordningen innebär ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Reglerna kan få betydande konsekvenser om er organisation erbjuder denna typ av tjänster till barn. Barns skyddsvärda ställning ska också vägas in vid intresseavvägning.

Känsliga personuppgifter

  • etniskt ursprung
  • religiösa uppfattningar
  • medlemskap i fackförbund
  • sexuell orientering
  • uppgifter om persons hälsa/sjukdom

Kvasiidentifierare

Något som kan hänföras till en enskild person utan att det är direkta personuppgifter. T ex kommun, kön och yrke – kan hänföra till ca 260 personer och därmed går en person att identifiera. 

Behandling av personuppgifter

Hur vi använder personuppgifter i våra register. Medlemmen ska ha tillgång till information om hur uppgifterna används och gett sitt aktiva medgivande. Organisationen får inte behandla personuppgifter på något annat sätt än det som framgått av informationen till medlemmen. Exempel på när organisationen använder medlemmarnas personuppgifter kan vara vid:

  • Insamling
  • Registrering
  • Lagring
  • Bearbetning
  • Spridning
  • Samkörning
  • Radering

Personuppgiftsregister (personregister)

Ett register som innehåller personuppgifter. Register med kombination av minst två personuppgifter om samma person, som kan identifiera personen ifråga anses som ett personuppgiftsregister.

Personuppgiftsincident

Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter.

Rapporteringsskyldighet

När en personuppgiftsincident upptäcks måste incidenten dokumenteras och anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Det kan också vara nödvändigt att informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri.

Lagring

Hur organisationen lagrar personuppgifter. Organisationen måste definiera var och varför personuppgifter lagras, så kallad laglig grund. Medlemmen ska dessutom vara underrättad om hur och varför dennes personuppgifter lagras. Varje register som upprättas ska motiveras varför det sparas och hur länge det får existera. Exempel på var föreningar lagrar personuppgifter:

  • Deltagarlistor
  • Medlemslistor
  • Resultatlistor
  • Funktionärslistor
  • Prov- och tävlingssystem
  • Hemsida
  • Protokoll
  • E-post, molntjänster – Google drive, Onedrive, dropbox etc.

Medlemsvillkor

Den information som beskriver för medlemmen hur organisationen behandlar och lagrar personuppgifter. Medlemsvillkoren ska formuleras med ett tydligt och enkelt språk och ska vara lättillgängligt. Medlemmen ska kunna ta del av information om medlemsvillkoren innan denne beslutar att ingå avtal med organisationen eller lämna sitt samtycke.

Laglig grund

All lagring av personuppgifter måste följa lagstiftning. Flera olika lagstiftningar reglerar rätt till lagring. Beroende på registrets syfte och karaktär kan den lagliga grunden variera.

Samtycke

En medlem ska frivilligt kunna samtycka till hur personuppgifterna behandlas efter att medlemmen har fått information om personuppgiftsbehandlingen. Samtycket ska, otvetydigt, genom en aktiv handling, lämnas av medlemmen för att organisationen ska få använda uppgifterna i specifika situationer. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade. Ett samtycke ska när som helst kunna återkallas av medlemmen.

Avtal

Den överenskommelse som organisation och medlem ingår när medlemmen betalar sitt medlemskap. Behandling av personuppgifter i avtalet ska tydligt definieras i medlemsvillkoren och finnas lättillgängligt för medlemmen att ta del av. I avtalet ingår behandling av personuppgifter som är nödvändiga för att avtalet ska kunna efterföljas. Personuppgiftsbehandlingen i avtalet kan inte medlemmen avsäga sig utan att bryta avtalet.

Rättslig förpliktelse

Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

Berättigat intresse/intresseavvägning

Behandling av personuppgifter där organisationens intresse väger tyngre än den registrerades intresse av skydd för sina personuppgifter. Barn anses vara särskilt skyddsvärda. T ex när organisationen lämnar ut uppgifter till samarbetspartners i syfte att informera medlemmen om dess förmåner eller erbjudanden.

Om medlemmen invänder mot en pågående behandling måste organisationen göra en ny intresseavvägning och upphöra med behandlingen om det inte finns tillräcklig belägg. Invänder medlemmen mot personuppgiftsbehandling som sker för direkt marknadsföring måste behandlingen upphöra.

Missbruksregel

Missbruksregeln innebar tidigare att enklare regler kunde användas för personuppgifter i ostrukturerat material (på hemsidor, e-post, enkla dokument osv). I GDPR finns ingen sådan regel varför ostrukturerat material lyder under samma lagliga grund som all annan behandling.

Personuppgiftsansvarig

Personuppgiftsansvarig är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.

Dataskyddsombud

Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Ombudet ska vara direkt underställd ledning med uppgift att kontrollera att behandlingen utförs på ett korrekt sätt. Ombudet ska ha speciella villkor gällande uppsägning.

Enligt integritetsskyddsmyndigheten finns inget krav på att ideella föreningar ska ha ett dataskyddsombud, men det rekommenderas att ombud ändå utses. Det går att ta in en extern resurs där t ex flera organisationer har samma ombud.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Ett skriftligt avtal måste upprättas (biträdesavtal). Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.

Biträdesavtal

Ett avtal som upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

Privacy by design 

Begrepp för att nya system har inbyggt systemstöd för GDPR.

Code of conduct

Uppförandekoder inom varje bransch som sätter standarden för tillämpning av GDPR. Att ta del av utfall av domstolsbeslut kan vara ett sätt som kommer att sätta standarden.  

Principer för dataskydd 

All behandling ska vara laglig, korrekt och öppen.  

Ändamålsbegränsning 

Ändamålen ska vara särskilda, uttryckligt angivna och berättigade. Varje register ska ha laglig grund, det ska vara specificerat och det ska vara berättigat att spara uppgifterna. 

Uppgiftsminimering 

Uppgifterna som behandlas och lagras ska vara adekvata, relevanta och inte för omfattande. Bara de uppgifter som behövs för att driva verksamheten får lagras och behandlas. 

Lagringsminimering 

Uppgifterna får inte sparas längre än nödvändigt. 

Integritet och konfidentiellt

Uppgifterna ska vara skyddade och inte exponeras för obehöriga. 

Ansvarsskyldighet 

Ansvarar för att uppgifterna behandlas efter ovanstående principer.  

Frågor om GDPR

Har du frågor om GDPR, kontakta oss via mejl:

Förbundskansli
GDPR